본문 바로가기

보안/study

(10)

BGP Keep alive 보호되어 있는 글입니다.

보안 자료 및 논문쓸때 참고 보호되어 있는 글입니다.

“Linux 서버에 악성코드가 다운된 것 같아요” 리눅스 서버 침해사고분석 1. 프로세스 확인 ps aux 프로세스가 매우 많다면 uid가 0이거나 악성 코맨드를 실행하거나 ps aux | grep 파일명 ps aux | grep 사용자 프로세스를 찾았다면 프로세스가 열고 있는 파일 확인 # lsof -p [pid] 2. 연결된 세션 확인 # netstat -taopen 3. 파일 확인 의심되는 기간 이후로 생성된 파일 찾기 # find / -mtime -n -type f (n일동안 생성된 파일찾기) # find / -ctime -n -type f (n일동안 변경된 피일 찾기) 특수권한을 가진 파일 찾기 # find / -uid 0 -perm 4000 (SetUID) # find / -uid 0 -perm 2000 (SetGID) # find / -uid 0 -perm 1000..

tls fallback option https://wiki.openssl.org/index.php/SSL_MODE_SEND_FALLBACK_SCSV SSL MODE SEND FALLBACK SCSV - OpenSSLWiki TLS_FALLBACK_SCSV is a TLS Signaling Cipher Suite Value (SCSV) that can be used to guard against protocol downgrade attacks. The extension can be useful for clients like web browsers, which fall back to a lesser protocol version if attempts to use a higher wiki.openssl.org fallback client 1.0..

취약점 업데이트! Redhat 업스트림(최신 패키지)을 사용해도 되는가? (feat. Upstream, Backporting) KISA - !@#$%5 n이하 버전은 취약해!! 업그레이드 하십시오!! 나(보안인) - !@#$%^ 이런 취약점이 있으니 업그레이드 합시다! 개발자 - 못하겠는데요? 나(보안인) - 네..? openssl 로 예를 들어보자 os 별로 소스설치가 아닌 패키징 설치를 했다면 centos 5,6 는 0.9.8 centos7 은 1.0.1 centos8 은 1.1.1 버전을 사용하고 있을 것이다. (centos 5,6 은 더이상 업데이트 지원 하지 않는다. centos7은 2024년 7월, centos8 은 2021년 12월 31에 지원이 끝난다.) CentOS 지원종료에 관한 게시글 -> https://hello-sec.tistory.com/150 기존 서비스중인 서버를 모두 상위 동일 버전으로 업데이트 하..

포트 스캔 공격 정리 및 공격툴(nmap,ncat,hping3) 1. 포트 스캔 종류 스캔 종류 설명 공격 예시 TCP Connect(Open) 스캔 정상적인 TCP 연결 과정을 수행 #nmap -sT TCP SYN(Half Open)스캔 -닫힌 포트 -> RST + ACK -열린 포트 -> SYN + ACK #nmap -sS 스텔스(Stelth)스캔 스캔 대상 호스트에 로그를 남기지 않는 기법 -닫힌 포트 -> RST + ACK -열린 포트 -> 응답X TCP FIN(스텔스) -닫힌 포트 -> RST + ACK -열린 포트 -> 응답X #nmap -sF TCP NULL(스텔스) -닫힌 포트 -> RST + ACK -열린 포트 -> 응답X #nmap -sN XMAS(스텔스) -닫힌 포트 -> RST + ACK -열린 포트 -> 응답X #nmap -sX TCP ACK ..

Snort Snort란? '마틴 로시' 가 1998년에 개발하였다. (Sniffing and More) . 스노트는 현재 마틴 로시가 창립자이자 개발자인 Sourcefire에 의해 개발되고 있으며, 2013년 이후로 시스코 시스템즈가 소유중이다. 패킷 스니핑 기능 + 패킷 로깅 기능 + IDS/IPS 기능 1. Snort 구조 (1) 헤더 : 처리할 패킷을 판단하는 기준 [ RuleAtion Protocol IP Port -> or IP Port] ① Rule Action Action 설명 alert 탐지시 alert 하고 패킷을 로깅함 log 탐지시 패킷을 로깅함 pass 무시 (룰 임시 disable 용도로 쓰임) activate alert 발생하고 대응하는 dynamic 룰 활성화시킴 dynamic activ..

r 계열 명령어 (rhost, rlogin, rsh, rmd) rhost, rlogin, rsh, rmd, rsync # yum install rsh-server -> rlogin, rsh, rexec 모두 설치됨. 1. 2. r서비스 보안 설정 [리눅스 보안] 리눅스 파일 및 디렉토리 관리 - $HOME/.rhosts, hosts.equiv 사용 금지 ■ 대상 OS : SunOS, Linux, AIX, HP-UX ■ 취약점 개요 - *'r'command 사용을 통한 원격 접속은 *NET Backup이나 다른 용도로 사용되기도 하나, 보안상 매우 취약하여 서비스 포트가 열려있을 경우 중요 정보 유출 및 시스템 장애 발생 등 침해사고의 원인이 됨. - 만약 사용이 불가피한 경우 /etc/hosts.equiv 파일 및 .rhosts 파일 사용자를 root 또는, 해당 ..

이전 1 2 다음

티스토리툴바