ping 125.246.95.253 > wireshark 2598 342.024531 192.168.0.214 125.246.95.253 ICMP 98 Echo (ping) request id=0x80bc, seq=1/256, ttl=62 (reply in 2599) => Arrival Time: Feb 10, 2025 10:30:59.121538000 대한민국 표준시 hping3 125.246.95.253 -p 80 -S --rand-source --flood > netdata(10.10.10.1:19999) tcp accept queue dropped packets 경고 알림 확인 가능 네트워크 증가 폭 확인 softnet > event/s hping3 공격시 300, 정책 필터 걸 경우 150, 공격을 끌경우 0으로 확인 가능 > UTM 사용자 지정 > 웹 메신저 > 웹 필터링 시 표시되는 메세지 텍스트 변경 가능 네트워크보호 > 침입방지 > 글로벌 > outside 네트워크보호 > 침입방지 > Dos/플러딩 방지 > tcp syn/udp/icmp 플러드 방지 적용 > web1.st.kr hping3 공격 시 웹 페이지에 접속하지 못함
tail -f /home/web1/public_html/logs workbench 10.10.10.1/web1/webhack edit+ web1.st.kr > board_write_chk.php > udir = "/home/web1/public_html/pds";로 변경 서버 chmod 777 pds 12:18 글 작성(악성코드 업로드) 12:18 악성코드 다운로드 12:23 관리자pc종료 12:24 서버 종료 12:25 utm 종료 FTK IMANGER 이용하기 add stmanager add utm add ubuntu ***사본 생성하기 원본 오른쪽 마우스 > export disk image > add > E01 > 20250210001/20250210001/20250210001/정유빈/산특주식회사 관리자pc D:\jyb\E01 20250210001 image fragment size= 0 check 삭제 start ***해시값 비교하기 원본 해시값 304dc7c948015aa3791274926dfa28ca 749a28ed55dda1496125165693250a49cc340a5d 복사본 해시값 [Computed Hashes] MD5 checksum: 304dc7c948015aa3791274926dfa28ca SHA1 checksum: 749a28ed55dda1496125165693250a49cc340a5d ***시나리오 작성 1. 컴퓨터 부팅 시간 SYSTEM 파일 분석 경로 C:\Windows\System32\config\SYSTEM ControlSet001\Control\Windows\ShutdownTime => 2025-02-10 3:24:15 UTC 2. 사용자 특정 sam > account > users software > microsoft > windows nt > currentversion >registeredowner => manager 3. 관리자가 시스템에 로그인한 횟수 SAM > Domains > Account > Users > manager 레지스트리 뷰 툴 이용하기 오른쪽 마우스 > show hex interpreter windows 로그온 횟수: 66~67자리 => 48회 4. 해커가 정보 수집을 한 시간 특정하기 5. 해커가 수집한 정보 6. 공격 시도 로그 찾기 /home/web1/public_html/logs/access.log board_write_chk.php 에 접속한 시점이 파일 업로드 공격 실행 시점 7. 웹 서버에 업로드된 파일 찾기 8. 업로드된 파일 다운로드 기록 찾기 >ntuser.dat 오른쪽 마우스 > open with ... registry view \Users\PC14\AppData\Local\Google\Chrome\UserData\Default\History > downloads 테이블 클릭 => 다운로드 기록 없음 9. 다운로드 받은 파일 실행 기록 찾기 Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU => 실행 기록 없음
http://st.kr:8004 ssh http ftp 22004 8004 21004 원격 : 125.246.95.253 10.10.10.4 web email dns 비밀번호 수정 mysql update id set pw'????' where user_id='admin';