https://raymii.org/s/tutorials/OSSEC_and_webui_and_analogi_dashboard_installation_on_Ubuntu.html -webui 설치 http://ossec-docs.readthedocs.org/en/latest/index.html https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-ossec-security-notifications-on-ubuntu-14-04 서버 설치 및 agent 연동 https://www.digitalocean.com/community/tutorials/how-to-monitor-ossec-agents-using-an-ossec-serv..

출처:시스템 로그 분석 -안정철 침입자 탐지 체크 리스트 10 1. last 로그, 프로세스 기록, syslog에 의해 생성된 모든 로그 파일 및 보안 로그 등을 조사 -> 평소 접속하지 않거나 외부 IP에서 연결을 한 경우, 혹 특이한 작업을 한 경우에 해당하는 모든 로그 파일을 조사. 2. 침입을 당한 시스템에 있는 setuid와 setgid 파일을 모두 찾아본다 (특히, setuid root 파일) -> 나중에 재침입을 위해 침입자들은 setuid 설정이 된 /bin/sh나 /bin/time 등과 같은 복사본을 만들어 놓는 경우가 많다. 이러한 파일은 찾아서 삭제해야만 한다. 검생 명령어 find / -user root -perm -4000 -print find / - group kmem -perm..

출처: 보안관제학 해킹 메일의 유형 및 탐지 방법 1. 최신 이슈를 가장한 스팸성 메일 제목 및 내용 -> 메일 제목은 사용자들을 현혹하는 문구가 포함 -> 내용에는 메일 수신자들로 하여금 메일에 포함된 링크를 클릭하도록 유도 2. 해킹 경유지에 설치된 악성코드 -> 메일에 포함된 악성 문서를 실행시킬 경우 해킹 경유지에 설치된 악성 코드가 원격에서 실행되어 중요 자료 및 정보가 유출 3. 상용 웹 메일을 이용한 해킹 메일 발송 -> 구굴, 다음, 네이버 등의 사용 웹 메일 서버를 이용하여 절취 및 정보 유출이 가능한 해킹 메일을 발송하는 경우로 해킹 이메일을 발송하는 특정 IP를 대상으로 집중적으로 감시해야함 4. 해킹 메일의 첨부 파일 실행 후 추가 해킹 프로그램 다운로드 -> 메일에 포함된 악성 문..

DDOS 공격 차단 방법 1. URL 차단 -> 과도한 DNS query 패킷 발생에 의한 DNS 기능 마비 방지 -> 특정 URL로 발생되는 DDOS 패킷 차단 1) DNS 싱크홀 -> 차단하고자 하는 특정 URL에 대해 loopback IP(127.0.0.1)를 선언하거나 임의의 서버 IP를 설정 2) L7 스위치 -> DNS 앞단에서 특정 URL에 대한 DNS query 패킷을 차단 설정 2. IP 차단 -> DDOS 공격 IP를 차단하여 네트워크 보호 1) Blackhole 처리 2) ACL 처리 3) uRPF 4) CAR 5) PBR 3. Port, Protocol 차단 -> DDOS 공격하는 특정 포트, 프로토콜등을 차단하여 네트워크 보호 1) L7 스위치 2) ACL 처리

Arcsight SIEM 활용 방안 1. 비인가 접속 모니터링 -> DBA나 관리자 , 계약자 및 퇴직자와 같이 위험이 높은 사용자를 SIEM를 통해 모니터링 2. 역할 위반 -> 모니터링 및 사용자의 역할 또는 부서 외부 시스템 접근에 보고하고, 신분관리(IDM)를 통해 역할과 권한을 확정하여 응용 프로그램에 저장 3. 권한 있는 계정의 활동 -> 권한을 가진 계정의 사용을 모니터링 4. 임원 대시보드 -> 위험한 사용자의 캡처 및 위험한 부서로 그들을 집계한다. 5. 봇넷, 웜, 바이러스 공격 탐지 -> 행봉 분석을 통한 탐지 제우스 => 200개가 넘는 명령 제어 C&C 서버의 활동을 한 번에 검색할 수 있는 IP 리스트를 지원 스팸도메인 => JoeWein.de 취약점 조기 경고 => iDefen..

Rsyslog conf 상황에 맞게 필터링 하기 위와 같은 문법을 이용하면 특정 ip를 필터링 할 수 있다. msg에 들어 있는 값들로 필터링을 하며, 위 로그는 침해사고시 분석할만한 주요 로그들을 분류하여 보았다. syslogtag을 확인화며 위와 같은 tag일 때 로그를 분류 함

C:\ProgramData\VMware vmnetnat ==> 설정한 값들이 들어 있음 vmware 이미지와 함께 구성 파일을 옮겨 주면 간단하게 이식 가능

sudo chmod -R 1777 /tmp 경로 What does chmod 1777 mean? 8 comments. Current rating: (3 votes). Leave comments and/ or rate it. Question: What does chmod 1777 on a folder mean? I know that chmod 777 means read/write/execute for everybody. What is the purpose of the additional '1'? Answer: The 1 is the "stickc bit". If you perform an ls -l on that folder, you will see a 't' next to it. The sticky bi..

# kill all INTF-FLAP messages... if $msg contains 'INTF-FLAP' then /dev/null &~ ## Cisco ACS Accounting... if ($fromhost-ip=='172.17.16.20') and ($programname == 'CSCOacs_TACACS_Accounting') then /var/log/tacacs_acct.log &~ ## CiscoACS 5.4 TACACS Authentication if ($fromhost-ip=='172.17.16.20') and ($programname == 'CSCOacs_Passed_Authentications') then /var/log/tacacs_auth.log &~ # Logging for ..

프로그램 사용법 위 프로그램을 실행 시키고 Text에 303-456-1234를 입력한다. Req.Expression 에 정규 표현식을 써주고 Apply 해주면된다. 정규 표현식 [0-9] -> 0부터 9까지의 숫자를 찾아라 [01235] -> 01235 만 찾는다. \d -> 숫자를 잡아줌 \D -> 숫자 이외의 문자를 잡아줌 . -> 아무 문자나 찾을 수 있다. (행의 끝에 오는 개행 문자는 제외) (\d)\d\1 -> (\d)는 첫 번째 숫자를 찾은 후 그 값을 기억 예제에서는 3 \d는 다음 숫자를 찾고 기억해두지 않는다 예제에서는 0 \1은 기억해둔 숫자를 가리킨다. 예제에서는 3이다. 수량자 앞에는 무엇인가 있어야 한다. 없으면 에러남 ? -> ?는 하나 이하라는 뜻 -? 인 경우..