45일차

1)서버의 로그의 기록 확보
> auth.log에 본인의 접속 IP가 있는가 
2)RSYSLOG의 데이터 기록 전체 확보후 각자 분석
> RSYSLOG데이터에 본인의 접속 IP가 있는가
3) 이메일 파일 확보후 분석
 > 이메일 로그에 본인의 IP가 있는가?
 > 각자 관리자한테 보낸 악성코드 어디에 있는지 찾기
 > 인코딩되어 있지만 디코딩후 해시값 분석 일치
---------------------------------------------------------------------------
서과장 하드디스크 복구
MBR > 각각의 파티션 위치
partition1 > 63
00 08 00 00 > 00 00 00 00 
00 08 00 00> 524,288 > NTFS + 시그니쳐(55AA) = VBR
00 00 08 00 > 2,048 > NTFS + 시그니쳐(55AA) = VBR
-----------------------------------------------------------------------------
십진수: 541291634 sector > NTFS 위치 NTFS (X)
partition2 > 41945715
개선사항
관리자PC, UF미설치, packetbeat미설치
ELK 4444 와의 연결 상태 확인 불가능


수강신청...ㅠㅠㅠ