이메일 로그 기록 확보
> auth.log에 본인의 접속 아이피가 있는가?
RSYSlOG의 데이터 기록 전체 확보 후 각자 분석
> RSYSlOG 데이터에 본인의 접속 아이피가 있는가
이메일 파일 확보 후 분석
> 이메일 로그에 본인의 아이피가 있는가
> 각자 관리자한테 보낸 악성코드 어디에 있는지 찾기
> 인코딩 되어 있지만 디코딩 후 해시값 분석 일치
-----------------------------------------------------------
서과장 하드디스크 복구
MBR > 각각 파티션의 위치
partition 1 :63
00 08 00 00 > 524288 > NTFS + 시그니처(55AA) =VBR
00 00 08 00 > 2048 > NTFS + 시그니처(55AA) =VBR
--------------------------------------------------------------
10진수 : 524288 > sector > NTFS위치 NTFS(x)
partition 2 :41945715
개선 사항
관리자 PC, UF 미설치, packetbeat 미설치
ELK 4444와의 연결 상태 확인 불가능