웹베이스 모니터링 도구입니다..

다운로드 : http://mmonit.com/monit/dist/monit-5.0.3.tar.gz

메뉴얼 :  http://mmonit.com/monit/documentation/monit.html

데몬별로 상태를 확인해서 특정 조건에 도달할경우 명령수행이 가능합니다..

아래 설정은 웹서버를 예로든것입니다..

메모리사용 3072M, childen 500, CPU 95%, port Fail

위 사항이 체크돼면 재시작입니다..

start, stop 스크립트를 만들면 프로세스 정보나 접근기록을 기록할수 있을듯 하네요..

set daemon 120 # Poll at 2-minute intervals
set mailserver 모니터메일서버주소
set logfile syslog facility log_daemon
set alert email
set httpd port 3000 and use address 도메인주소
    allow localhost
    allow 허용할아이피대역
    allow 관리자아이디:비밀번호

check system domain.tld
    if loadavg (1min) > 4 then alert
    if loadavg (5min) > 2 then alert
    if memory usage > 75% then alert
    if cpu usage (user) > 70% then alert
    if cpu usage (system) > 30% then alert
    if cpu usage (wait) > 20% then alert

check process apache
    with pidfile "/usr/www/apache2/logs/httpd.pid"
    start program = "/usr/www/apache2/bin/apachectl startssl" with timeout 60 seconds
    stop program = "/usr/www/apache2/bin/apachectl stop"
    if 2 restarts within 3 cycles then timeout
    if totalmem > 3072 Mb then alert
    if children > 500 for 5 cycles then stop
    if cpu usage > 95% for 3 cycles then restart
    if failed port 80 protocol http then restart
    group server
    depends on httpd.conf, httpd.bin

check file httpd.conf
    with path /usr/www/apache2/conf/httpd.conf
    if changed checksum
        then exec "/usr/www/apache2/bin/apachectl graceful"

check file httpd.bin
    with path /usr/www/apache2/bin/httpd
2009/08/10 12:29 2009/08/10 12:29
기업에 웹서버 관리하는 분들이라면 중국발 해킹 관련해서 한번씩은 들어보거나 당행본 분들이 많을 것입니다. 그 만큼 아주 다양하게 접근해서 괴롭히고 있다고 봐도 과언이 아닙니다.

지난 27일 서울 잠실롯데호텔에서 개최된 '정보보호심포지엄(SIS) 2007' 행사의 일환으로 개최된 해킹시연을 했다고 합니다. 관련해서 '중국발 해킹, 마술의 경지?' 기사가 나서 소개올려 드립니다.

신문기사 앞부분에는  "해킹당하지도 않았는데 정상적인 웹사이트에서 악성코드가 유포된다?" 어찌보면 마술과도 같은 해킹. 그러나 실제 국내 이용자들을 표적으로 은밀히 진행되고 있는 공격이다.
라고 할정도로 표현을 할 정도로 현재의 해킹 툴은 대단하다는것을 알려 준다.
결국 외부에 취약점을 오픈을 최소화 하려는 대안을 만들지 않는 한 오픈된 웹 서버에게는 결코 안정하지 못하다는 것을 알 수 있습니다.
공격자가 자신의 PC에 웹사이트의 취약점을 찾아 이를 해킹할 수 있는 자동 공격 프로그램 화면을 띄운다. 공격자가 취약점 탐색 버튼을 클릭하자 보안이 취약한 웹서버들이 줄줄이 걸려든다.

이 중 한곳을 타깃으로 공격자가 공격명령을 실행하자 해당 웹서버의 관리자 권한이 장악됐다. 한순간이었다. 공격자는 원격접속 프로그램을 해당 웹서버에 설치하면 눈앞의 모니터 화면으로 마치 자신의 PC처럼 통제가 가능한 상황.

이후 공격자가 사용한 공격 방식은 'ARP 스푸핑(Spoofing)'. ARP란 IP 네트워상에서 IP 주소를 물리적 네트워크(장비) 주소로 대응시키기 위한 프로토콜로, 이를 조작하면 동일한 네트워크를 물려있는 다른 웹서버나 PC의 모든 이동중인 데이터 패킷을 볼 수 있게 된다.

공격자는 이 공격을 통해 같은 네트워크에 물려있는 모든 웹사이트(웹서버)의 방문자들을 상대로 개인정보를 빼내는 악성코드가 자동으로 유포되도록 조작했다. 이 경우, 사용자가 다른 정상적인 웹서버에 접속해도 이용자PC에 전송되는 데이터는 모두 이곳을 경유해 공격자가 미리 숨겨놓은 악성코드를 받아가게되는 것이다.

현재 많은 IDC 제공되는 웹서버들의 실제 담당자가 알고 있지 못하는 유형의 웹사이트를 해킹해 악성코드를 숨겨놓거나 중개서버로 악용되는 이른바 '중국발 해킹'이 여전히 기승을 부리고 있다고 볼 수 있습니다.

또한, 더욱이 IDC나 웹호스팅업체의 경우, 한곳의 웹서버가 뚫리면 그곳에 입주한 모든 웹서버들이 이같은 악성코드 유포 위협에 노출될 수 있다는 점에서 충격적이며 관련해서 기업체에서 준비해야 할 사항이 매우 미비하다는 것이 더 걱정된 부분입니다.

특히 이런 모든 취약점과 해킹 공격을 막는 다는 것은 기업의 보안담당자나 엔지니어가 해야 할 부분이 매우 미비할 수도 있다는 것입니다.

◆패치 상업화 경향…반드시 설치해야 = 확인된 공격 방법에 대한 패치 평균개발 기간은 6.8일로 지난해 상반기와 비교했을 때 약 하루 정도 더 늘어났다. 시만텍 측은 이 같은 패치 개발 지연 경향이 '패치 상업화'에 따른 것으로 보고 있다. 그러나 시만텍 관계자는 "웹서버나 데스크톱에 새로 설치한 운영체제를 감염시키는데 걸리는 시간을 분석해 본 결과 패치를 설치한 PC는 모든 종류의 운영체제에서 감염 문제가 없었다"며 "운영시스템 및 애플리케이션 패치를 하지 않으면 감염 치료-재감염의 악순환이 계속될 수밖에 없다"고 설명했다.

◆올해 보안 위협 어떤 변화 있나 =시 만텍은 사용자가 눈치채지 못하게 은밀한 공격을 실행하는 악성 코드가 증가할 것으로 예상했다. 또 ▲상업화된 취약점 연구가 증가하고, ▲비전통적인 플랫폼(휴대전화, PDA, 맥OSX 등)에 대한 공격이 늘어나며, ▲인스턴트 메시징을 통해 피싱이나 악성 코드의 배포가 급증할 것으로 내다봤다.

자료출처 : '중국발 해킹' 올바로 대처하라

2009/07/27 18:41 2009/07/27 18:41

최근 이 취약점을 이용하여 IIS 웹서버를 공격하는 사례가 발생하고 있습니다. 아직 패치가 발표되지 않은 만큼, WebDAV의 기능을 중지시켜 미연에 방지하시기 바랍니다.

5월 18일 오늘(미국 기준), IIS 5/6의 WebDAV에서 보안 인증을 우회하는 취약점이 발견되었습니다.

보안에 관심을 가지고 계신 분이라면 WebDAV 취약점은 지난 2001년도에 IIS 4/5에서 발생한 MS01-26이 생각날 수도 있습니다. 이는 폴더 이름에 사용되는 문자에 유니코드로 인코딩하는 것을 지원하면서 발생한 것으로 가장 대표적인 것이 "../.."을 "..%c0%af.."로 인코딩하게 되면 보안 권한 검사를 거치지 않고 곧바로 파일에 액세스할 수 있게 된 문제점입니다.

하여튼, 이 번에 새로 발견된 WebDAV 취약점을 통해 공격자는 비밀번호로 잠근 디렉터리를 액세스하거나 파일을 다운로드 또는 업로드할 수 있습니다. Nicolas Rangos에 따르면 WebDAV의 작업 폴더가 아닌 IIS 전체의 폴더에 취약점이 노출되어 있다고 합니다. 원인은 유니코드 문제를 처리하는 과정에서 발생한다고 합니다.

아래와 같이 비밀번호로 보호되는 폴더의 파일을 GET 명령어를 통해 요청을 하게 되면 인증을 거치치 않고 접근이 가능하게 됩니다.

GET /..%c0%af/protected/protected.zip HTTP/1.1Translate: fConnection: closeHost: servername

"/" 문자는 %c0%af 라는 유니코드 값으로 인코딩되어 /protected/protected.zip 파일에 접근할 수 있게 됩니다. 또한, Translate:f 옵션을 통해 WebDAV의 기능으로 디렉터리를 접글할 수 있습니다.

또한 WebDAV 폴더에 대한 공격은 약간 더 복잡하지만 다음과 같은 방법으로 업로드나 다운로드가 가능합니다.

PROPFIND /protec%c0%afted/ HTTP/1.1Host: servernameUser-Agent: neo/0.12.2Connection: TETE: trailersDepth: 1Content-Length: 288Content-Type: application/xml<?xml version="1.0" encoding="utf-8"?><propfind xmlns="DAV:"><prop><getcontentlength xmlns="DAV:"/><getlastmodified xmlns="DAV:"/><executable xmlns="http://apache.org/dav/props/"/><resourcetype xmlns="DAV:"/><checked-in xmlns="DAV:"/><checked-out xmlns="DAV:"/></prop></propfind>


다행인 점은 일부 IIS 7에서는 WebDAV에 관련된 취약점이 발생하지 않는 다는 것입니다.

아직 이 문제점에 대한 해결책은 나와 있지 않지만 가장 좋은 방법은 WebDAV를 일시적으로 중지하는 것입니다.

자료출처: http://secunia.com/advisories/35109/
MS 자료: http://www.microsoft.com/technet/security/advisory/971492.mspx

2009/07/27 18:38 2009/07/27 18:38
■ 개 요

MS社는 2월 11일 Internet Explorer, MS Exchange 등에서 시스템 장악 등 해킹에 악용 가능한 보안취약점 4건(긴급 2, 중요 2)을 발표하였는 바, 각급기관은 해당 시스템에 대한 MS社의 보안 업데이트를 조속히 설치하시기 바랍니다.



■ 보안 업데이트에 포함된 취약점 및 관련 사이트

1
. Internet Explorer 누적 보안업데이트(긴급, 961260)

o 설 명
Internet Explorer에서 조작된 스타일 시트를 처리하는 과정 등에 원격코드 실행 취약점이 존재하여 공격자는 악의적인 웹페이지를 구축한 후 이메일 등을 통해 사용자의 방문을 유도하여 취약한 시스템에 대해 완전한 권한 획득이 가능하다.

o 관련 취약점
    - Uninitialized Memory Corruption Vulnerability(CVE-2009-0075)
    - CSS Memory Corruption Vulnerability(CVE-2009-0076)

o 영향받는 소프트웨어
   - Internet Explorer 7 for Microsoft Windows XP SP2, SP3
   - Internet Explorer 7 for Microsoft Windows XP Professional x64 Edition, SP2
   - Internet Explorer 7 for Microsoft Windows Server 2003 SP1, SP2
   - Internet Explorer 7 for Microsoft Windows Server 2003 SP1, SP2 for Itanium-based Systems
   - Internet Explorer 7 for Microsoft Windows Server 2003 x64 Edition, SP2
   - Internet Explorer 7 for Microsoft Windows Vista, SP1
   - Internet Explorer 7 for Microsoft Windows Vista x64 Edition, SP1
   - Internet Explorer 7 for Microsoft Windows Server 2008
   - Internet Explorer 7 for Microsoft Windows Server 2008 x64 Edition
   - Internet Explorer 7 for Microsoft Windows Server 2008 for Itanium-based Systems

o 영향받지 않는 소프트웨어
   - Internet Explorer 5.01 SP4 for Microsoft Windows 2000 SP4
   - Internet Explorer 6 SP1 for Microsoft Windows 2000 SP4
   - Internet Explorer 6 for Microsoft Windows XP SP2, SP3
   - Internet Explorer 6 for Microsoft Windows XP Professional x64 Edition, SP2
   - Internet Explorer 6 for Microsoft Windows Server 2003 SP1, SP2
   - Internet Explorer 6 for Microsoft Windows Server 2003 x64 Edition, SP2
   - Internet Explorer 6 for Microsoft Windows Server 2003 SP1, SP2 for Itanium-based Systems

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-002.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/Bulletin/MS09-002.mspx

2. MS Exchange 취약점으로 인한 원격코드실행 문제점(긴급, 959239)

o 설 명
MS Exchange 서버에서 조작된 TNEF 메시지 및 MAPI 명령을 처리하는 과정에 원격코드 실행 취약점이 존재하여 공격자는 악의적으로 조작된 이메일을 Exchange 서버 사용자에게 전송, 열람을 유도하여  취약한 시스템에 대해 완전한 권한 획득이 가능하다.

* TNEF(Transport Neutral Encapsulation Format) : MS Exchange Server 및 Outlook 클라이언트에서 서식 있는 텍스트(RTF)를 보낼때 사용하는 형식
* MAPI(Message Application Programming Interface) : 이메일을 보내거나 현재 작성중인 문서를 이메일 내용으로 첨부할 수 있도록 해주는 인터페이스


o 관련 취약점
    - Memory Corruption Vulnerability(CVE-2009-0098)
    - Literal Processing Vulnerability(CVE-2009-0099)

o 영향받는 소프트웨어
   - Microsoft Exchange 2000 Server SP3
   - Microsoft Exchange Server 2003 SP2
   - Microsoft Exchange Server 2007 SP1

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-003.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/Bulletin/MS09-003.mspx

3. SQL 서버의 취약점으로 인한 원격코드실행 문제점(중요, 959420)

o 설 명
MS SQL 서버에서 SQL 인젝션 공격이 가능한 취약점이 존재하여 공격자는 홈페이지에 악성코드 삽입, DB 내용 절취 등 취약한 시스템에 대해 완전한 권한 획득이 가능하다.

* SQL 인젝션 : DB에 정상적인 쿼리로 위장한 악의적인 쿼리를 전송, 이를 실행토록 하는 해킹수법

o 관련 취약점
    - SQL Server sp_replwritetovarbin Limited Memory Overwrite Vulnerability(CVE-2008-5416)

o 영향받는 소프트웨어
   - SQL Server 2000 SP4
   - SQL Server 2000 Itanium-based Edition SP4
   - SQL Server 2005 SP2
   - SQL Server 2005 x64 Edition SP2
   - SQL Server 2005 for Itanium-based Systems SP2
   - Microsoft SQL Server 2000 Desktop Engine(MSDE 2000) SP4
   - Microsoft SQL Server 2005 Express Edition SP2
   - Microsoft SQL Server 2005 Express Edition with Advanced Services SP2
   - Microsoft SQL Server 2000 Desktop Engine(WMSDE) on Windows Server 2003 SP1, SP2
   - Microsoft SQL Server 2000 Desktop Engine(WMSDE) on Windows Server 2003 x64 Edition,
      SP2
   - Windows Internal Database(WYukon) SP2 on Windows Server 2003 SP1, SP2
   - Windows Internal Database(WYukon) x64 Edition SP2 on Windows Server 2003 x64 Edition,
      SP2
   - Windows Internal Database(WYukon) SP2 on Microsoft Windows Server 2008
   - Windows Internal Database(WYukon) x64 Edition SP2 on Microsoft Windows Server 2008
      x64

o 영향받지 않는 소프트웨어
   - SQL Server 7.0 SP4
   - Microsoft Data Engine(MSDE) 1.0 SP4
   - SQL Server 2005 SP3
   - Application Center 2000 SP2
   - SQL Server 2005 x64 Edition SP2
   - SQL Server 2005 SP3 for Itanium-based
   - SQL Server 2008, x64, Itanium-based

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-004.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/Bulletin/MS09-003.mspx

4. MS Visio 취약점으로 인한 원격코드실행 문제(중요, 957634)

o 설 명
MS Vsio에서 특정 파일을 처리하는 과정에 원격코드 실행 취약점이 존재하여 공격자는 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하거나 이메일 첨부파일을 열어보도록 유도하여 취약시스템에 대해 완전한 권한 획득이 가능하다.

o 관련 취약점
   - Memory Validation Vulnerability(CVE-2009-0095)
   - Memory Corruption Vulnerability(CVE-2009-0096)
   - Memory Corruption Vulnerability(CVE-2009-0097)

o 영향받는 소프트웨어
   - Microsoft Visio 2002 SP2
   - Microsoft Visio 2003 SP3
   - Microsoft Visio 2007 SP1

o 영향받지 않는 소프트웨어
   - Microsoft Office Visio 2002 Viewer
   - Microsoft Office Visio 2003 Viewer
   - Microsoft Office Visio Viewer 2007, SP1

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/bulletin/MS09-005.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-005.mspx


■ 참고정보
Microsoft Update
http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko

 

2009/05/25 13:52 2009/05/25 13:52

Subject: Life is Beautiful" (인생은 아름다워) 라는 pps 그림을 받을때에는 여하
Life is Beautiful" (인생은 아름다워) 라는 pps 그림을 받을때에는 여하한 경우라도 열지말고 곧바로 삭제하기 바랍니다.
이 정보는 Microsft 와 Norton 에서 강력히 통보한 내용입니다.
만약 이파일을 열었다가는 "이미 때는 늦었습니다. 당신의 인생은 더이상 아름답지 안습니다" 라는 메세지가 나타날겁니다.
결과적으로 당신의 컴퓨터에 있는 모든것을 잃어버리게 됩니다.
동시에 이런 mail 을 보낸사람이 당신의 이름, e-mail 주소와 비밀번호등을 파악하게 될겁니다.

이것은 새로 발생한 바이러스(virus)로서 4,28(토요일) 오후에 활동을 시작한 virus 로서 AOL 에서 확인한바에 의하면 현존 어떤 virus 퇴치 프로그램으로도 이 virus 를 치료 없앨수가 없다고 합니다.
이 virus 는 자칭 "Life Owner (생명의 소유자)" 라고 하는 hacker 가 만들었다고 합니다.

본 메일의 사본을 꼭 주변 친구들에게 알려서 예방하세요~

2009/05/21 14:22 2009/05/21 14:22
최근 보안 기업으로 유명한 Imperva에서 SQL Injection 공격 중 하나의 Blindfolded SQL 인젝션 공격의 동영상을 유튜브에 공개했습니다.




Blindfolded SQL Injection은 SQL 서버와 같이 데이터베이스 서버에서 질의(Query)를 하나하나 집어 넣어 시연하면서 오류가 발생하는 상태를 보아 가면서 오류가 없도록 해가면서 공격해 가는 기법입니다.

이에 대한 자세한 정보는 아래 링크를 참고하십시오.

http://ttongfly.net/zbxe/?document_srl=42603

 

2009/05/19 20:36 2009/05/19 20:36