본문 바로가기
반응형

분류 전체보기289

apt-get update의 gpg error 해결법 $ sudo -i # apt-get clean # cd /var/lib/apt # mv lists lists.old # mkdir -p lists/partial # apt-get clean # apt-get update 2012. 7. 17.
MySQL TIP ##########백업 & 복구########### DB 백업 : mysqldump -u 계정명 -p DB명 [테이블명] > 백업할 파일명 DB 복구 : mysql -u 계정명 -p DB명 < 복구할 파일명 ##########비밀번호 분실시########### mysqld --skip-grant ##########Can't get hostname for your address########### -my.ini 파일 설정 추가 [mysqld] skip-name-resolve ##########쿼리 로그 남기기########### -my.ini 파일 설정 추가 [mysqld] datadir=데이터 디렉토리 경로 (데이터베이스 저장 디렉토리) general-log=1 gelneral-log-file=로그파일명.. 2012. 7. 17.
파라미터 일정 갯수 이상인 패킷 탐지 정규식 ([^=&]*=[^=&]*&){30,} -파라미터 갯수가 30개 이상인 패킷 탐지 [예제 POST 패킷 헤더] POST / HTTP/1.1 Host: 192.168.124.145 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2.20) Gecko/20110803 Firefox/3.6.20 ( .NET CLR 3.5.30729; .NET4.0E) Content-Length: 1578125 0000000=&000000FY=&000000G8=&000000H%17=&000000D%9B=&00000FY0=&00000FYFY=&00000FYG8=&00000FYH%.. 2012. 5. 10.
Zbot 악성코드 ###프로세스 생성 실행파일명.exe 2회 생성 후 c:\DOC~1\계정명\Appl~1\Maob\uxzi.exe 2회 생성 svshost.exe>rundll32.exe 생성 후 사라짐 ###네트워크 senmobert.dlinkddns.com DNS 쿼리 요청 ###레지스트리 HKCU\Software\Microsoft\Windows\CurrentVersion\ uxzi.exe 생성 (윈도우 시작시 실행) uwlyipoc 서비스 생성 ###파일 생성 실행 파일은 삭제 c:\DOC~1\계정명\LOCAL~1\Temp\uwlyipoc.sys c:\DOC~1\계정명\LOCAL~1\Temp\tmp86ab9e96.bat c:\DOC~1\계정명\Appl~1\Maob\uxzi.exe ###기타 1.코드는 델파이로 작성되었.. 2012. 5. 9.
Apache 다중 확장자 업로드 취약점 아파치는 다중 언어의 지원을 위해 MultiViews 옵션을 제공하는데(링크) 이를 악용하여 공격자는 확장자를 속여서 서버 사이드 스크립트의 업로드가 가능하다. .php.bak 확장자로 업로드한 웹쉘 실행 화면 MultiViews를 제거하려면 Directory의 Options에서 -MultiViews를 설정해주면 된다 Options -MultiViews AllowOverride All Order allow,deny Allow from all MultiViews 제거 설정 Apache 2.2부터는 -MultiViews를 명시해주어도 동작하기때문에 FilesMatch를 통해 다중 확장자 업로드를 막아야한다. #AddType application/x-httpd-php .php .html SetHandler a.. 2012. 5. 1.
Microsoft Technet Windows Server 2003 보안 가이드 http://technet.microsoft.com/ko-kr/library/dd637706.aspx 2012. 4. 30.
윈도우 설치 관련 로그 저장 위치 http://support.microsoft.com/kb/927521 2012. 4. 27.
윈도우 Vista/7/2008 진단 스크립트 v1.3.4 ##### 스크립트 Update History ##### 2012-04-25 (v1.1.0) - 각 진단 항목에 대한 권고사항 출력 추가 - 6.3 항목 화면 잠금 시간 변수 추가 - 6.4 항목 로그 최대 크기 변수 추가 - 6.8 항목 진단 방법 수정 (감사 안 함 검색 -> 각 항목별 따로 설정값에 따른 진단) 2012-04-27 (v1.2.0) - 4.2 항목에 대한 점검 추가 - 기존 진단 결과 파일 저장 폴더를 삭제하고 새로 생성하던 방식에서 내부 동일 진단 결과 파일만 삭제하도록 변경 2012-04-29 (v1.3.0) - 2.1 항목에서 administrator 계정 존재시 활성화 여부 출력 추가 2012-05-08 (v1.3.1) - 6.8 항목에서 정상적으로 양호판단을 하지 못하던 버그.. 2012. 4. 25.
[telnet]Unencrypted connection refused 해결 테스트 환경 : CentOS 5.2 ekrb5-telnet과 telnet이 동시에 켜져 있는 경우 ekrb5-telnet이 적용되서 ekrb5-telnet에 의해 암호화되지 않은 연결이 해제되는 것으로 보인다. 2012. 3. 22.
2012.03.20 JS 악성코드 분석 메모 현재 자바 스크립트 악성코드를 분석해보고 있는데 코드들을 상당히 난잡화 해둔 악성코드로 보였다. 무난하게 분석해 나가던 도중에 갑자기 도저히 이해할 수 없는 다음과 같은 코드를 만나고 상당히 많이 당황하였다. ohLgj5=DDrbLO0('a1Qe4dG*]6zY^k8b]#&,m8$[x_GD3]Nvj5dsn7[F[8ecu[S34Rlc]4r;iadpDt='[wOrjuux8](/[^xS@0ietrc9p]/g,'')); 위의 코드 중에서 DDrbLO0은 eval 함수를 가리키고 있고 wOrjuux8는 'replace' 문자열을 저장하고 있다. DDrbLO0 = eval; wOrjuux8='replace'; 처음에는 wOrjuux8의 존재를 눈치 채지 못하고 도저히 eval 함수를 통해 명령어로 해석될 수 없는 문.. 2012. 3. 20.
[일반]Win32.Trojan.Pearmor.416768 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!! 2012. 3. 8.
[일반]Win32.FlyStudio.Worm.1289331 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!! 2012. 3. 6.
[Lena] 튜토리얼 01 http://tuts4you.com/request.php?122 1번 문제는 라이센스 획득과 관련된 문제로 보인다. (검사 루틴 회피 또는 유효한 라이센스 키 생성) OllyDBG를 실행하고 처음부터 쭉 훑어보면 Keyfile.dat라는 파일을 읽어들이는 부분이 보인다. Keyfile.dat라는 파일을 생성하고 실행을하면 정상적인 키파일이 아니라는 메세지가 뜬다. 좀 더 아래에 보면 파일을 읽어들이고 읽어들인 데이터의 길이를 체크하는 부분이 보인다. 키파일은 총 16자의 길이를 가지는 것으로 추측된다. 키파일의 길이가 16자 이상이면 유효한 키인지 확인하는 루틴으로 넘어간다. 1byte씩 읽어들여 (004010C1) 아스키 코드값 47('G')과 일치하는지 확인하고 (004010CB) 일치하는경우 ESI.. 2012. 1. 12.
[일반]Win32.Xema.worm.307200.E ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!! 2012. 1. 10.
2011.1.4 Xema worm 동적 분석 메모 프로세스 생성 system -> autochl -> newdev 파일 생성 c:\Windows\system32\autochl.exe c:\Windows\system32\sserver.exe c:\Windows\system32\config\system.exe c:\Windows\system32\config\system.sav c:\Windows\Temp\newdev.exe c:\Windows\system32\lap.exe c:\Windows\system32\dllcache\log.exe 이동식:\autorun.inf 이동식:\Goback.exe 레지 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAuthoRun 145.. 2012. 1. 4.
[상세]VBS.Autorun.7474 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!! 2011. 11. 25.
VBScript shell.run shell.run strCommand, [intWindowStyle],[bWaitOnReturn] -strCommand : 실행할 명령 -intWindowStyle : 윈도우 스타일의 Int 값 -bWaitOnReturn : 스크립트를 계속 실행하기 이전에 명령이 완료되기를 기다릴지 여부의 boolean 값 Window Style value description 0 Hide the window and activate another window 1 Activate and display the window. (restore size and position) Specify this flag when displaying a window for the first time 2 Activate & minimize 3.. 2011. 11. 24.
VBScript DriveType 값 Value Description 0 Unknown 1 Removable 2 Fixed 3 Network 4 CD-ROM 5 RAM Disk 2011. 11. 24.
VBScript CreateTextFile 함수 object.CreateTextFile(filename[,overwrite[,unicode]]) -filename : 생성할 파일 경로 및 파일명 -overwrite : 기존에 파일이 존재할 겨우 덮어 쓸지 여부로 Boolean 값을 가진다. -unicode : 파일을 Unicode로 생성할지 여부로 Boolean 값을 가지며 false의 경우 ASCII로 생성된다. 2011. 11. 24.
VBScript 파일 객체 속성 값 Constant Value Description Nomal 0 Nomal file. No attributes are set ReadOnly 1 Read only file. Attribute is read/write Hidden 2 Hidden file. Attribute is read/write System 4 System file. Attribute is read/write Volume 8 Disk drive volume label. Attribute is read only Directory 16 Folder or directory. Attribute is read only Archive 32 File has changed since last backup. Attribute is read/write. .. 2011. 11. 24.
반응형
바로가기

티스토리툴바