초식 ##########백업 & 복구###########DB 백업 : mysqldump -u 계정명 -p DB명 [테이블명] > 백업할 파일명DB 복구 : mysql -u 계정명 -p DB명 < 복구할 파일명 ##########비밀번호 분실시###########mysqld –skip-grant ##########Can’t get hostname for your address###########-my.ini 파일 설정 추가 [mysqld]skip-name-resolve ##########쿼리 로그 남기기###########-my.ini 파일 설정 추가 [mysqld]datadir=데이터 디렉토리 경로 (데이터베이스 저장 디렉토리)general-log=1gelneral-log-file=로그파일명 (경로를 생략할 경우 데이터 디렉토리에 저장)
([^=&]*=[^=&]*&){30,} -파라미터 갯수가 30개 이상인 패킷 탐지 [예제 POST 패킷 헤더] POST / HTTP/1.1 Host: 192.168.124.145 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2.20) Gecko/20110803 Firefox/3.6.20 ( .NET CLR 3.5.30729; .NET4.0E) Content-Length: 1578125 0000000=&000000FY=&000000G8=&000000H%17=&000000D%9B=&00000FY0=&00000FYFY=&00000FYG8=&00000FYH%17=&00000FYD%9B=&00000G80=&00000G8FY=&00000G8G8=&00000G8H%17=&00000G8D%9B=&00000H%170=&00000H%17FY=&00000H%17G8=&00000H%17H%17=&00000H%17D%9B=&00000D%9B0=&00000D%9BFY=&00000D%9BG8=&00000D%9BH%17=&00000D%9BD%9B=&0000FY00=&0000FY0FY=&0000FY0G8=&0000FY0H%17=&0000FY0D%9B=&0000FYFY0=&0000FYFYFY=&0000FYFYG8=&0000FYFYH%17=&0000FYFYD%9B=&0000FYG80=&0000FYG8FY=&0000FYG8G8=&0000FYG8H%17=&0000FYG8D%9B=&0000FYH%170=&0000FYH%17FY=&0000FYH%17G8=&0000FYH%17H%17=&0000FYH%17D%9B=&0000FYD%9B0=&0000FYD%9BFY=&0000FYD%9BG8=&0000FYD%9BH%17=&0000FYD%9BD%9B=&0000G800=&0000G80FY=&0000G80G8=&0000G80H%17=&0000G80D%9B=&0000G8FY0=&0000G8FYFY=&0000G8FYG8=&0000G8FYH%17=&0000G8FYD%9B=&0000G8G80=&0000G8G8FY=&0000G8G8G8=&0000G8G8H%17=&0000G8G8D%9B=&0000G8H%170=&0000G8H%17FY=&0000G8H%17G8=&0000G8H%17H%17=&0000G8H%17D%9B=&0000G8D%9B0=&0000G8D%9BFY=&0000G8D%9BG8=&0000G8D%9BH%17=&0000G8D%9BD%9B=&0000H%1700=&0000H%170FY=&0000H%170G8=&0000H%170H%17=&0000H%170D%9B=&0000H%17FY0=&0000H%17FYFY=&0000H%17FYG8=&0000H%17FYH%17=&0000H%17FYD%9B=&0000H%17G80=&0000H%17G8FY=&0000H%17G8G8=&0000H%17G8H%17=&0000H%17G8D%9B=&0000H%17H%170=&0000H%17H%17FY=&0000H%17H%17G8=&0000H%17H%17H%17=&0000H%17H%17D%9B=&0000H%17D%9B0=&0000H%17D%9BFY=&0000H%17D%9BG8=&0000H%17D%9BH%17=&0000H%17D%9BD%9B=&0000D%9B00=&0000D%9B0FY=&0000D%9B0G8=&0000D%9B0H%17=&0000D%9B0D%9B=&0000D%9BFY0=&0000D%9BFYFY=&0000D%9BFYG8=&0000D%9BFYH%17=&0000D%9BFYD%9B=&0000D%9BG80=&0000D%9BG8FY=&0000D%9BG8G8=&0000D%9BG8H%17=&0000D%9BG8D%9B=&0000D%9BH%170=&0000D%9BH%17FY=&0000D%9BH%17G8=&0000D%9BH%17H%17=&0000D%9BH%17D%9B=&0000D%9BD%9B0=&0000D%9BD%9BFY=&0000D%9BD%9BG8=&0000D%9BD%9BH%17=&0000D%9BD%9BD%9B=&000FY000=&000FY00FY=&000FY00G8=&000FY00H%17=&000FY00D%9B=&000FY0FY0=&000FY0FYFY=&000FY0FYG8=&000FY0FYH%17=&000FY0FYD%9B=&000FY0G80=&000FY0G8FY=&000FY0G8G8=&000FY0G8H%17=&000FY0G8D%9B=&000FY0H%170=&000FY0H%17FY=&000FY0H%17G8=&000FY0H%17H%17=&000FY0H%17D%9B=&000FY0D%9B0=&000FY0D%9BFY=&000FY0D%9BG8=&000FY0D%9BH%17=&000FY0D%9BD%9B=&000FYFY00=&000FYFY0FY=&000FYFY0G8=&000FYFY0H%17=&000FYFY0D%9B=&000FYFYFY0=&000FYFYFYFY=&000FYFYFYG8=&000FYFYFYH%17=&000FYFYFYD%9B=&000FYFYG80=&000FYFYG8FY=&000FYFYG8G8=&000FYFYG8H%17=&000FYFYG8D%9B=&000FYFYH%170=&000FYFYH%17FY=&000FYFYH%17G8=&000FYFYH%17H%17=&000FYFYH%17D%9B=&000FYFYD%9B0=&000FYFYD%9BFY=&000FYFYD%9BG8=&000FYFYD%9BH%17=&000FYFYD%9BD%9B=&000FYG800=&000FYG80FY=&000FYG80G8=&000FYG80H%17=&000FYG80D%9B=&000FYG8FY0=&000FYG8FYFY=&000FYG8FYG8=&000FYG8FYH%17=&000FYG8FYD%9B=&000FYG8G80=&000FYG8G8FY=&000FYG8G8G8=&000FYG8G8H%17=&000FYG8G8D%9B=&000FYG8H%170=&000FYG8H%17FY=&000FYG8H%17G8=&000FYG8H%17H%17=&000FYG8H%17D%9B=&000FYG8D%9B0=&000FYG8D%9BFY=&000FYG8D%9BG8=&000FYG8D%9BH%17=&000FYG8D%9BD%9B=&000FYH%1700=&000FYH%170FY=&000FYH%170G8=&000FYH%170H%17=&000FYH%170D%9B=&000FYH%17FY0=&000FYH%17FYFY=&000FYH%17FYG8=&000FYH%17FYH%17=&000FYH%17FYD%9B=&000FYH%17G80=&000FYH%17G8FY=&000FYH%17G8G8=&000FYH%17G8H%17=&000FYH%17G8D%9B=&000FYH%17H%170=&000FYH%17H%17FY=&000FYH%17H%17G8=&000FYH%17H%17H%17=&000FYH%17H%17D%9B=&000FYH%17D%9B0=&000FYH%17D%9BFY=&000FYH%17D%9BG8=&000FYH%17D%9BH%17=&000FYH%17D%9BD%9B=&000FYD%9B00=&000FYD%9B0FY=&000FYD%9B0G8=&000FYD%9B0H%17=&000FYD%9B0D%9B=&000FYD%9BFY0=&000FYD%9BFYFY=&000FYD%9BFYG8=&000FYD%9BFYH%17=&000FYD%9BFYD%9B=&000FYD%9BG80=&000FYD%9BG8FY=&000FYD%9BG8G8=&000FYD%9BG8H%17=&000FYD%9BG8D%9B=&000FYD%9BH%170=&000FYD%9BH%17FY=&000FYD%9BH%17G8=&000FYD%9BH%17H%17=&000FYD%9BH%17D%9B=&000FYD%9BD%9B0=&000FYD%9BD%9BFY=&000FYD%9BD%9BG8=&000FYD%9BD%9BH%17=&000FYD%9BD%9BD%9B=&000G8000=&000G800FY=&000G800G8=&000G800H%17=&000G800D ※현재 티스토리 버그로 IE 가 아닌 다른 브라우저에서는 표 내용이 정상 출력되지 않습니다.
(sample)page.7z 다운로드 ###프로세스 생성실행파일명.exe 2회 생성 후c:\DOC~1\계정명\Appl~1\Maob\uxzi.exe 2회 생성 svshost.exe>rundll32.exe 생성 후 사라짐 ###네트워크senmobert.dlinkddns.com DNS 쿼리 요청 ###레지스트리HKCU\Software\Microsoft\Windows\CurrentVersion\ uxzi.exe 생성 (윈도우 시작시 실행) uwlyipoc 서비스 생성 ###파일 생성실행 파일은 삭제c:\DOC~1\계정명\LOCAL~1\Temp\uwlyipoc.sysc:\DOC~1\계정명\LOCAL~1\Temp\tmp86ab9e96.batc:\DOC~1\계정명\Appl~1\Maob\uxzi.exe ###기타 1.코드는 델파이로 작성되었음2.메일 관련해서 무언가의 동작하는거 같음 3.복사된 uxzi는 38200h부터 저장되는 파일의 끝부분이 다른 값을 가지고 있음.38200h의 첫 4byte는 동일하며 해당 부분은 헤더의 시작을 … Read more
아파치는 다중 언어의 지원을 위해 MultiViews 옵션을 제공하는데(링크) 이를 악용하여 공격자는 확장자를 속여서 서버 사이드 스크립트의 업로드가 가능하다. .php.bak 확장자로 업로드한 웹쉘 실행 화면 MultiViews를 제거하려면 Directory의 Options에서 -MultiViews를 설정해주면 된다 Options -MultiViews AllowOverride All Order allow,deny Allow from all MultiViews 제거 설정 Apache 2.2부터는 -MultiViews를 명시해주어도 동작하기때문에 … Read more
http://technet.microsoft.com/ko-kr/library/dd637706.aspx
http://support.microsoft.com/kb/927521
win2008 check 201510260029.zip 다운로드 ##### 스크립트 Update History ##### 2012-04-25 (v1.1.0)– 각 진단 항목에 대한 권고사항 출력 추가– 6.3 항목 화면 잠금 시간 변수 추가– 6.4 항목 로그 최대 크기 변수 추가– 6.8 항목 진단 방법 수정 (감사 안 함 검색 -> 각 항목별 따로 설정값에 따른 진단) 2012-04-27 (v1.2.0)– 4.2 항목에 대한 점검 추가– … Read more
테스트 환경 : CentOS 5.2 ekrb5-telnet과 telnet이 동시에 켜져 있는 경우 ekrb5-telnet이 적용되서 ekrb5-telnet에 의해 암호화되지 않은 연결이 해제되는 것으로 보인다.
현재 자바 스크립트 악성코드를 분석해보고 있는데 코드들을 상당히 난잡화 해둔 악성코드로 보였다. 무난하게 분석해 나가던 도중에 갑자기 도저히 이해할 수 없는 다음과 같은 코드를 만나고 상당히 많이 당황하였다. ohLgj5=DDrbLO0(‘a1Qe4dG*]6zY^k8b]#&,m8$[x_GD3]Nvj5dsn7[F[8ecu[S34Rlc]4r;iadpDt='[wOrjuux8](/[^xS@0ietrc9p]/g,”)); 위의 코드 중에서 DDrbLO0은 eval 함수를 가리키고 있고 wOrjuux8는 ‘replace’ 문자열을 저장하고 있다. DDrbLO0 = eval; wOrjuux8=’replace’; 처음에는 wOrjuux8의 존재를 눈치 채지 못하고 도저히 eval 함수를 통해 … Read more
Win32.Trojan.Pearmor.416768.pdf 다운로드 (Sample)Win32.Trojan.Pearmor.416768.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!