39일차

39일차

홈으로 돌아가기 

1)컴퓨터는 언제 부팅 되었는가
2시41분
2) 사용자는 누구인가?
manager
3) 관리자는 몇번 시스템에 로그인 했는가?
레지스트리 확인
4) 해커가 정보 수집을 하는 시간은 언제인가?
서버 (netdata...) 2시 50분
5) 무슨 정보를 수집하려고 했는가?
> 패킷 분석하기 (방화벽 네트워크 확인
192.168.0.211
naver.com
google.com
6) 공격을 했는가?
ping
scan
hping3
웹서버에 SYN패킷을 보내는 공격
hping3 125.246.95.253 -p 80 -S --rand-source --flood
7) 공격을 했다면 무슨 흔적들이 남는가?
방화벽 서버등에 흔적을 찾는다
서버에 흔적 존재
4444
80
21
22
hping3 125.246.95.253 -p 80 -S --rand-source --flood
sync flooding 공격시
http://10.10.10.1:19999/ netdata에 치명적인 알람

ping 10:20 e1 outside에서 확인

8) 웹서버에 파일이 업로드 되었는가?

9) 관리자가 파일을 다운로드 받았는가?
10) 받고 실행은 했는가?

웹 보호 
웹 필터링
새 필터 동작
웹사이트에 naver.com

네트워크 보호 > 침입방지 활성화
전역 IPS설정 outside(address) 추가
라이브 로그 열기로 확인
플러딩 방지 활성화


시나리오
1)컴퓨터는 언제 부팅 되었는가

2) 사용자는 누구인가?
manager
3) 관리자는 몇번 시스템에 로그인 했는가?

4) 해커가 정보 수집을 하는 시간은 언제인가?
12:13
5) 무슨 정보를 수집하려고 했는가?
syn scan 
port scan
6) 공격을 했는가?
nmap 12:13
ping 12:14
7) 공격을 했다면 무슨 흔적들이 남는가?
8) 웹서버에 파일이 업로드 되었는가?
khh.exe 12:17
9) 관리자가 파일을 다운로드 받았는가?
12:18
10) 받고 실행은 했는가?

FTK Imager 사본을 만들어 놓기
해당 디스크 추가 Export 
add... > Raw(dd) > 20250210001 20250210001 20250210001 강호혁 산특관리자PC 
> 저장 경로 설정 > 파일이름 설정 > Image Fragment 0설정 해주기


분석
관리자 PC : 20250210001.001
서버 : 20250210002.001
방화벽 : 20250210003.001
>사본 이미지 생성
각 사본에 대한 해시값은 무엇인가?

관리자
 MD5 checksum:    3390f8562324eb2a3f677123254dcce3
 SHA1 checksum:   98107ae91e7dcb4ff10d137e0b4db0717aa27581

서버
 MD5 checksum:    f16f70d1c146ba22e07d2b8a045c827a
 SHA1 checksum:   fe80a633ec0bc46ad038b4af8fb0778ae9f1b933

방화벽
 MD5 checksum:    e3a05aff4ab96ed7568251b95385578e
 SHA1 checksum:   a3a6e38bdf03d6288312e14358d920e14d8ec543


본인이 중요하다고 판단 되는 파일들을 찾아서 Export 하시오

ssh	http	ftp
22001	8001	21001
22002	8002	21002
22003	8003	21003
22004	8004	21004

Email	DNS

각 조별로 본인의 홈페이지 백업 잘되는지 확인하고

team1.st.kr:8001
team2.st.kr:8002
team3.st.kr:8003
team4.st.kr:8004

로그인 하면 메일로 알람 설정 해주세요~~
각 조별로 본인의 홈페이지 백업 잘되는지 확인하고 백업 서버에 전송되는지 확인

스냅샷 걸고 삭제예정
팀별로 숫자로된 4자리 암호를 1000개 만들고 배포

일반 사용자 암호
root 사용자 암호

hydra -L user.txt -P passwd.txt ssh://125.246.95.253:22003

백업 10.10.10.102
메일,DNS 10.10.10.253
ssh st.kr (master,123456)

IP="$(echo $SSH_CONNECTION | cut -d " " -f 1)"
HOSTNAME=$(hostname)
NOW=$(date +"%e %b %Y, %a %r")
user=$LOGNAME
echo $USER' from '$IP' logged into '$HOSTNAME' on '$NOW'.' |mail -s 'SSH Login Notification' master@mail2.st.kr
Copyright © snower's Website