39일차

1)컴퓨터 부팅은 언제인가
2)누가 접속했는가
manager
3)어디에 접속을 했는가
4)데이터베이스에 접속을 했는가
5)해커가 사이트를 공격했는가
6)공겨했다면 무슨 흔적을 남겼는가
sys
7)흔적들을 관리자가 실시간으로 모니터링 했는가
서버에 흔적이 존재
80
21
22[방화벽 접근 포트]
22001 [포트+번호]
22002 [포트+번호]
22003 [포트+번호]
22004 [포트+번호]


흔적 보는 법
10.10.10.1:19999에 들어가서
  
로가서 보면
  
패킷이 튀는것을 볼수 있다


web1.st.kr에서 게시판 작성후 들어가게되면 putty에 로그 기록이 남아있다
  



8)웹서버에 파일이 업로드 되었는가?



----------------------------
시나리오2
1)컴퓨터 부팅은 언제인가

2)누가 접속했는가
manager
3)어디에 접속을 했는가
4)데이터베이스에 접속을 했는가
5)해커가 사이트를 공격했는가
6)공겨했다면 무슨 흔적을 남겼는가
7)흔적들을 관리자가 실시간으로 모니터링 했는가
8) 웹서버에 파일이 업로드 되었는가
9) 관리자가 파일을 다운로드 받았는가
10) 받고 실행은 했는가


분석
1) 관리자 PC : 20250210001.001
2) 서버 : 20250210001.001
3) 방화벽 : 20250210001.001


관리자pc 원본 해시값(md5) : 30bcbfe5169d5195ebb9fb8c827f88b3
관리자pc 복사본 해시값(md5) : 30bcbfe5169d5195ebb9fb8c827f88b3 동일성 입증

서버 원본 해시값(md5) : cb6327c631faf19a675679bafea45581
서버 복사본 해시값(md5) : cb6327c631faf19a675679bafea45581  동일성 입증

방화벽 원본 해시값(md5) : 4e7ab1e5575b82fc34b5272855f9476c
방화벽 복사본 해시값(md5) : 4e7ab1e5575b82fc34b5272855f9476c 동일성 입증

메일, DNS 10.10.10.253
ssh st.kr (master, 123456)

systemctl disable named
systemctl disable dovecot