conf 파일 { "network": { "servers": [ ":5000" ], "timeout": 15, "ssl ca": "C:/path/to/logstash-forwarder.crt" }, "files": [ { "paths": [ "C:/inetpub/logs/LogFiles/W3SVC*/*.log" ], "fields": { "type": "iis-w3svc" } }, { "paths": [ "-" ], "fields": { "type": "windows-event" } } ] }

출처: 해킹사고의 재구성 - 최상용 1. 중요 메소드를 중점적으로 추출 웹 접근 로그의 99%는 GET 방식의 요청에 대한 기록이며, POST 방식의 요청에 대한 기록은 상대적으로 소량이다. 하지만 웹 해킹 시도는 POST요청 속에 해커의 요청이 숨겨져 오는 경우가 많으므로 웹 접근 로그 중 메소드 필드에 'POST'가 포함되어 있거나 'PUT'이 포함되어 있는 경우의 로그만을 걸러내서 일차적으로 살펴봐야 한다. 2. 중요 스크립트를 중점적으로 추출 웹 접근 로그는 jsp,asp,php와 같은 스크립트 이외에도 이미지 파일, js 파일 , css 파일 등이 홈페이지에 접속할 때마다 기록되므로 스크립트 파일 외의 파일에 대한 요청 기록이 많은 부분을 차지한다. 그러므로 스크립트를 호출하고, GET 요청에 ..

출처: http://blog.naver.com/baljern?Redirect=Log&logNo=140094786384 VHD (Virtual Hard Disk) part3 | VMware 7에서 VHD파일 사용하기 이 포스트는 제가 Windows7과 VMware를 배워나가는 과정을 담고있고 그닥 흥미있는 내용은 아닙니다만, 처음 사용하시는 분들에게 약간이나마 도움이 되었으면 하는 생각으로 포스팅을 시작했습니다. Windows7에서는 VHD파일을 기본적으로 지원하고 있어, Windows7에서 만들어진 가상하드디스크 파일을 VMware에서 불러와 마운트해서 사용하는 방법을 간단하게 설명드리겠습니다. 일단 part1을 읽어 보셨다면 대략 마운트 하는 방법은 알고 계시리라 믿습니다. 테스트 환경은 INTEL C..

출처: 해킹사고의 재구성 - 최상용 1. SQL 인젝션을 이용한 인증 모듈 우회 웹로그에는 SQL injection 공격이 남지 않는다. 이유는 웹 응용 프로그램 개발 시, 사용자 로그인 폼을 POST방식으로 전송하기 때문이다. POST방식은 사용자의 모든 요청 값이 기록되는 GET방식과는 달리, POST 헤더 이후의 부분은 데이터로 인식해 웹 접근 로그에 기록하지 않기 때문이다. 이런 상황에서 웹 로그만을 참고하여 SQL을 탐지하려면 다음과 같은 방법을 사용해야 한다. 1) 로그인 실패를 몇 회이상 지속적으로 할 경우 의심을 할 수 있다. 2) 에러로그에 실패 로그를 보고 의심 할 수 있다. 웹 접근 로그 분석 방법 1) 로그 중 POST 메소드가 포함되어 있는 로그만을 걸러내어 보는 방법 2) 일정부..

출처: 해킹사고의 재구성 - 최상용 1. 위 변조 사고 o 입력 값 검증에 관련된 공격 방법 - SQL 인젝션 - 웹셀 업로드 - XSS 및 CSRF 관련 공격 o 설정 오류에 관련된 공격 방법 - PUT 메소드 - 터미널 서비스, RPC, 텔넷, FTP등 원격 접근 공격 - 취약한 ID/패스워드를 유추하는 공격 위 변조 사고의 경우 육안상 나타나는 증상 1) 관리자만이 쓰기가 가능한 게시판의 게시물이 추가/변경/삭제 2) 관리자가 생성하지 않은 파일이 생성되어 있으며, 소스파일 중 특정 파일의 M-time이 변경되어 있음 3) 피싱 페이지 등 홈페이지 내 관리자가 추가하지 않은 페이지가 생성되어 있음 4) 로그 변경, 허가 받지 않은 포트 오픈, 서비스 및 프로세스 실행 5) 특정 게시물을 클릭할 때마..

출처:http://elven.kr/archives/649 개인정보 유출사고에 대해 각종 언론과 미디어 매체를 통해 많이 접해보셨을 것입니다. 2010년부터 대량의 유출사고가 빈번히 발생하고 있으며, 안전하다고 여겨졌던 금융권 역시 내부 직원에 의해 개인정보가 유출되면서 큰 혼란이 야기되었습니다. 개인정보 유출사고가 끊이지 않는 가장 큰 이유는 해당 정보를 이용한 거래 시장이 활성화되고 있기 때문입니다. 스팸·보이스피싱·텔레마케팅 등에서 개인정보가 차지하는 비중이 높다보니 자연스럽게 이를 사고 파는 불법 유통 비즈니스가 활성화 되었으며, 이는 곧 판매자로 하여금 더 많은 자원을 확보하기 위한 목적으로 수많은 개인정보 유출사고를 발생시키고 있습니다. 또한 시스템의 개인정보를 탈취하는 과정에 있어, 이전처럼 ..

출처: http://acc.giro.or.kr/secu_view.asp?seq=7887 http://elven.kr/archives/361 윈도우 운영체제 기반의 피해시스템에서 공격자의 침투경로를 파악하기 위해서는 어떠한 정보가 필요할까요? 인터넷 기록 및 레지스트리 등을 확인 및 분석하여 악성코드에 어떻게 감염되었는지도 살펴볼 정보 중 하나이나, 가장 중요한 아티팩트는 윈도우 이벤트 로그라고 볼 수 있습니다. 이 이벤트 로그는 외부에서의 시스템 접속과 사용자 계정 설정 변경 등 침투/피해 시점 당시 발생하였던 다양한 정보를 저장하고 있으며 분석가는 이를 통해 보다 효율적인 접근이 가능합니다. 이번 포스트에서 다룰 내용은 분석 시 활용할 수 있는 로그 설명과 이벤트 ID 등 기초적인 내용이며, 실제 이벤..

dpkg -s libc6 | grep Arch Architecture: i386 나오면 32비트 Architecture: amd64 나오면 64비트

https://www.digitalocean.com/community/tutorials/how-to-install-elasticsearch-logstash-and-kibana-4-on-ubuntu-14-04

There are a few concepts that are core to Elasticsearch. Understanding these concepts from the outset will tremendously help ease the learning process. 아래의 몇가지 개념들을 이해한다면 매우 쉽게 시작할 수 있다. Near Realtime (NRT) Elasticsearch is a near real time search platform. What this means is there is a slight latency (normally one second) from the time you index a document until the time it becomes searchable. ..