conpot 설치 방법 https://n0where.net/conpot-ics-scada-honeypot/

출처:https://opentutorials.org/module/1175/7779 a. MySQL Folder로 이동 cd /etc/mysql b. my.cnf 파일을 출력 sudo nano my.cnf port = 3306 bind-address = 127.0.0.1 127.0.0.1은 현재 Lock이 걸린 상태기 때문에, root 계정 이외의 접속자는 제한된다. 원격접속을 허용 해야함으로, # 을 넣어 Lock을 풀어준다. # bind-address = 127.0.0.1 저장 ! c. MySQL Restart sudo /etc/init.d/mysql restart d. Run MySQL mysql -uroot -p e. Ubuntu MySQL 원격접속 허용 명령 실행 1 grant all privil..

출처:http://www.koreaidc.com/bbs/set_view.php?b_name=idcpds&w_no=104 https://www.digitalocean.com/community/tutorials/how-to-set-up-master-slave-replication-in-mysql #MYsql 리플리케이션이란? # Replication은 3.23.15부터 지원되기 시작한 기능으로 ‘복제’라는 사전적 의미에 맞게 마스터의 MySQL 서버의 데이터를 여러 대의 슬레이브 MySQL 서버의 데이터와 동기화 시켜주는 기능이다. 주로, MySQL의 데이터를 실시간으로 백업하거나, 데이터 서버의 부하분산을 하고자 할 때 많이 사용된다. 0. 서버 설정 1번서버 - master 서버 : 1차네임서버 : 19..

출처:http://jaesu.tistory.com/entry/ubuntu-mysql-%EC%84%A4%EC%B9%98-%EB%B0%8F-%EC%84%A4%EC%A0%95%ED%95%98%EA%B8%B0 1). mysql 검색 sudo apt-cache search mysql-server 2). mysql 설치 sudo apt-get install mysql-server-5.6 3). 외부에서 접속할 수 있도록 권한부여. (1) mysql database에 로그인. mysql -u root -p mysql -h 192.168.115.207 -P 3306 -u root -p (2) default db 변경 use mysql; (3) 권한부어 GRANT ALL PRIVILEGES ON *.* to 'root'..

1. 터미널이든 로컬이든 우선 접속한다. 2. 명령 프롬프트에 ' SELECT version()'입력한다.

출처:http://egloos.zum.com/repository/v/5842610 수리카타 설정 [ 패키지 모니터링 및 차단 ] # 백그라운드로 실행(-D) # suricata -D -c /etc/suricata/suricata.yaml --af-packet => 컴파일 시 af-packet을 지원해야한다. # suricata -D -c /etc/suricata/suricata.yaml -i br0 => br0은 브릿지 모드이다. [ 로그 확인 ] # /etc/suricata/suricata.yaml파일의 설정에 따라 로그가 생성된다. # ls /var/log/suricata (아래는 기본 로그이다.) fast.log => 룰에 의한 접속 로그 http.log => http호출 헤더 정보 stat.log..

출처: http://moaimoai.tistory.com/100 1. 설치 환경 리눅스 환경의 IDS를 설치하기 위해 많은 리눅스 기반의 OS 중 Ubuntu OS를 선택했다. Ubuntu 버전은 14.04.1 (32bit)이고 이것은 현재 최신 버전이다. IDS 프로그램 또한 최신 버전을 선택했다. Suricata와 Bro는 모두 무료버전이므로 어느 버전을 설치해도 무관하다. 본 블로그에서는 각 다른 이미지에 개별적으로 설치하여 테스트했다. 1) Ubuntu 버전 2) Suricata (수리카타) 버전 링크 : http://suricata-ids.org/ 3) Bro (브로) 버전 링크 : https://www.bro.org/ 2. Suricata 설치 1) Suricata 최신버전을 설치하기 위해 다..

kippo를 통해 본 봇들의 공격 1. 방화벽 해제 2. wget으로 zip 및 rar 다운로드 및 실행

kippo를 통해 본 봇들의 공격 방법 위 그림은 봇들의 활동을replay를 시킨 것이다. 1. 제일 먼저 방화벽을 stop 한다. 2. 115.230.124.201:8888 를 통해 악성 파일들을 다운 받는다 3. 다운 파일의 권한을 777로 바꾸어 실행 가능하도록 한다. 4. 해당 파일을 백그라운드로 돌리도록 한다. 시간대는 조금 다르지만 같은 공격자가 만든 봇들의 공격으로 보인다. 공격지는 중국이며, 봇으로 추정 가능한 것은 같은 공격 패턴과 command not found가 일어나도 계속 명령어를 입력하는 것을 보고 판단할 수 있다. *보안 장비 설계시 로그를 수집할때 wget과 방화벽 stop에 관련된 로그를 수집하여 공격 여부를 확인하는 방법도 괜찮을 것 같다.

기본적으로 honeydrive에 kippo가 설치가 되어 있다. kippo는 가짜의 ssh를 구동시켜 외부자가 ssh를 통해 침투하여 입력한 모든 명령어들을 replay 해준다. 또한 localhost/kippo-graph/ 웹을 통해 공격지 ip , 날짜등 통계가 되어 한눈에 보기가 쉽다. 구동 시키는 방법은 /honeydrive/kippo/start.sh를 실행 시켜 주면 된다. kippo.cfg => kippo 구동 환경을 설정해 줄 수 있다. ssh port 변경 등 data/ => lastlog.txt 와 userdb.txt가 존재한다. -> lastlog는 simulate ssh 에 접속했던 IP들과 시간정보들이 들어 있다. -> userdb.txt는 simultae ssh의 user id와 ..