bianconery의 모든 글

Elementor #335

브루트 포스 공격 차단
fail2ban 이용

epel 저장소 설치

yum install epel-release

fail2ban 설치

yum install fail2ban

fail2ban 실행

systemctl start fail2ban

systemctl enable fail2ban

 fail2ban 을 firewalld 와 연동시키지 않고 이거말고 systemd 랑 연동시킴

 yum install fail2ban-systemd

fail2ban-firewalld를 사용하지 않도록 설정파일을 제외

mv /etc/fail2ban/jail.d/00-firewalld.conf 00-firewalld.nouse

세팅값 작성

vi /etc/fail2ban/jail.d/jail.conf

[DEFAULT]
# Common
ignoreip  = 127.0.0.1/8
bantime   = 600
findtime  = 1800
maxretry  = 3
[sshd]
enabled = true

설정값 저장후 재시작
systemctl restart fail2ban

파일시스템 분석

[Device Info]
Source Type: Physical
[Drive Geometry]
Cylinders: 489
Tracks per Cylinder: 255
Sectors per Track: 63
Bytes per Sector: 512
Sector Count: 7,856,127
[Physical Drive Information]
Drive Model: SanDisk SanDisk Cruzer USB Device
Drive Serial Number: 4528720A2252D1E0
Drive Interface Type: USB
Removable drive: True
Source data size: 3835 MB
Sector count: 7856127
[Computed Hashes]
MD5 checksum: 75db2b2a8535ac35e08e1880c5c6a8c8
SHA1 checksum: ea97b27546e7fd208afc204b2017aff0c894f071

 

Image Information:
Acquisition started: Thu Dec 06 15:43:56 2018
Acquisition finished: Thu Dec 06 15:46:47 2018
Segment list:
D:\000DigitalForensics\02WinForensic\0000EvidenceFile\USB_partition\evidence_usb01.001

 

Image Verification Results:
Verification started: Thu Dec 06 15:46:47 2018
Verification finished: Thu Dec 06 15:47:02 2018
MD5 checksum: 75db2b2a8535ac35e08e1880c5c6a8c8 : verified
SHA1 checksum: ea97b27546e7fd208afc204b2017aff0c894f071 : verified

 

Image Verification Results:
Verification started: Thu Dec 06 16:30:14 2018
Verification finished: Thu Dec 06 16:30:47 2018
MD5 checksum: 75db2b2a8535ac35e08e1880c5c6a8c8 : verified
SHA1 checksum: ea97b27546e7fd208afc204b2017aff0c894f071 : verified

 

usb 해쉬 값

total sector
Boot Flag
00
CHS 시작 주소
20 21 00
파티션 유형
07
NTFS
CHS 마지막 주소
CB 09 82
LBA 시작 주소
00 08 00 00                         00 00 08 00 (2048)
Total Sectors
00 08 20 00                     00 20 08 00 (2099200)

USB MBR 영역이 손상되어 두 개의 파티션을 분석할 수 없는 상태이다.\

-MBR(Master Boot Record)이 손상되어 VBR을 불러오지 못해 해당 파티션을 읽을 수 없다.

total sector 분석


MBR(Master Boot Record) 분석

0
00

1~3
20 21 00
4
07
NTFS
5~7
CB 09 82
8~11
00 08 00 00(LBA)                               00 00 08 00
2048
12~15
00 08 20 00(Total Sector)                  00 20 08 00
2099200
첫 번째 빨간색 밑줄은 파티션 유형에 대해서 알려주는 위치이다.(NTFS 확인)
두 번째 빨간색 밑줄은 Total Sector 정보가 담겨 있다.

MBR
1 섹터
2,047
섹터
#1 파티션 NTFS
2,048섹터 시작
2,099,200섹터 크기
#2 파티션
2,101,248섹터부터 시작

-첫 번째 빨간색 칸은 파티션 유형에 대해서 알려주는 위치이다.(FAT 32)
-두 번째 빨간색 칸은 Total Sector 정보가 담겨 있다.

MBR
1 섹터
2,047
섹터
#1 파티션 NTFS
2,048섹터 시작
2,099,200섹터 크기
#2 파티션 FAT32
2,101,248섹터 시작
5,750,784섹터 크기
mbr 복구
파티션 2개 마운트 확인

kibana linux

  1. Elasticsearch 설치

yum -y install java

rpm -qa | grep java

rpm –import https://packages.elastic.co/GPG-KEY-elasticsearch

vi /etc/yum.repos.d/elasticsearch.repo

[elasticsearch-2.x]

name=Elasticsearch repository for 2.x packages
baseurl=http://packages.elastic.co/elasticsearch/2.x/centos
gpgcheck=1
gpgkey=http://packages.elastic.co/GPG-KEY-elasticsearch
enabled=1

yum -y install elasticsearch

rpm -qa | grep elasticsearch

vi /etc/elasticsearch/elasticsearch.yml
54 network.host: 192.168.0.221
58 http.port: 9200

systemctl enable elasticsearch

systemctl start elasticsearch

systemctl status elasticsearch

lsof -i tcp:9200

vi /etc/services #포트 변경

wap-wsp 9200/tcp # WAP connectionless service

wap-wsp 9200/udp # WAP connectionless service

elasticsearch 9200/tcp # ElasticSearch Service
elasticsearch 9200/udp # ElasticSearch Service

vi /etc/yum.repos.d/kibana.repo

[kibana-4.5]

name=Kibana repository for 4.5.x packages
baseurl=http://packages.elastic.co/kibana/4.5/centos
gpgcheck=1
gpgkey=http://packages.elastic.co/GPG-KEY-elasticsearch
enabled=1

yum -y install kibana

rpm -qa | grep kibana

vi /opt/kibana/config/kibana.yml
2 server.port: 5601
5 server.host: “192.168.0.221”
15 elasticsearch.url: “http://192.168.0.221:9200”

systemctl enable kibana

systemctl start kibana

systemctl status kibana

netstat -natlp | grep 5601

lsof -i tcp:5601

ps -ef | grep kibana

vi /etc/services #5601 포트를 Kibana로 변경

esmagent 5601/tcp # Enterprise Security A$

esmagent 5601/udp # Enterprise Security A$

kibana 5601/tcp # Kibana Service
kibana 5601/udp # Kibana Service

vi /etc/yum.repos.d/logstash.repo

[logstash-2.3]

name=logstash repository for 2.3 packages
baseurl=http://packages.elasticsearch.org/logstash/2.3/centos
gpgcheck=1
gpgkey=http://packages.elasticsearch.org/GPG-KEY-elasticsearch
enabled=1

yum -y install logstash

rpm -qa | grep logstash

vi /etc/logstash/conf.d/logstash.conf

input {
beats {
port => 5044
type => “logs”
ssl => false
#ssl_certificate => “/etc/pki/tls/certs/logstash.crt”
#ssl_key => “/etc/pki/tls/private/logstash.key”
}
}
filter {
if [type] == “syslog” {
grok {
match => { “message” => ” %{SYSLOGTIMESTAMP:syslog_timestamp}
%{SYSLOGHOST:syslog_hostname}
%{DATA:syslog_program}(?:[%{POSINT:syslog_pid}])?:
%{GREEDYDATA:syslog_message}” }
add_field => [ “receive_at”, “%{@timestamp}” ]
add_field => [ “receive_from”, “%{host}” ]
}
syslog_pri { }
date {
match => [ “syslog_timestamp”, “MMM d HH:mm:ss”, “MMM dd HH:mm:ss” ]
}
}
}

output {
elasticsearch { hosts => [“192.168.0.221:9200”] }
stdout { codec => rubydebug }
}

service logstash configtest

systemctl start logstash

chkconfig logstash on

systemctl status logstash

cd /opt/logstash/bin

./logstash -f /etc/logstash/conf.d/logstash.conf

lsof -i tcp:5044

vi /etc/services #포트 변경

lxi-evntsvc 5044/tcp # LXI Event Service

lxi-evntsvc 5044/udp # LXI Event Service

logstash 5044/tcp # Logstash Log Server
logstash 5044/udp # Logstash Log Server

firewall-cmd –permanent –add-port=9200/tcp

firewall-cmd –permanent –add-port=5044/tcp

firewall-cmd –permanent –add-port=5601/tcp

firewall-cmd –reload

firewall-cmd –list-ports

2018-12-10

pcap 파일 분석

Wireshark Conversation 확인

ID : sneakyg33k@aol.com
passwd : 558r00lz
팔로우 해보면 id와 passwd 그리고 전송파일이 base64로 인코딩되어있는것을 확인할 수 있다.
base64로 decode하면 id, passwd 그리고 파일이 나오게 된다.

http object list에 들어가면 sdfg.jar 파일과 q.jar 파일이 있는것을 확인할 수 있다.
85번라인을 팔로우스트림해보면 sdfg.jar의 파일 시그니처를 확인할 수 있다.
98라인도 팔로우스트림 하면 q.jar의 파일 시그니처를 확인할 수 있다.
RAW로 변경후 저장
그리고 Hxd로 열어서 PK 파일 시그니처를 찾고 삭제한다.
q파일도 마찬가지로 삭제해준다.
저장 후 파일 확장자를 맞게 변경해주면 파일 내용 확인이 가능하다.

2018-10-04()

활성 시스템 조사
메모리 포렌식
쓰기 방지
regedit -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control -> 키생성 “StorageDevicePolicies” -> “DWORD 값” “WriteProtect” -> 0 or 1
FTK Imager

usbfff.001

2018-09-28(Hash)

logging 모듈 -> 로그를 만듬

로그레벨 <-
Fatal, Error, warn, Info, Debug, Trace

명명규칙
-단방향 해쉬 알고리즘-
MD5, Sha-1, Sha-2

-증거보존
검색
블랙리스트 : 유해파일
화이트리스트 : 신뢰파일
변화감지

-설계 고려사항
사용 모듈 정의
표준 라이브러리 매핑

-요구사항 -내용명시
개요
이식성
주요기능
주요결과
알고리즘 선택
오류처리

-로그레벨-
Fatal : 시스템 유지불가
Error : 문제 발생
Warn : 해결 가능한 문제 발생
Info
Debug : 메서드의 시작과 끝
Trace : 메서드의 시작과 끝을 제외하고 본문 중 필요한 정보

2018-09-27(휘발성 데이터 수집)

메모리 덤프 – raw 파일

관리자 cmd : FDPRO.exe

메모리 덤프 -> Batch 파일
Batch 파일
날짜/시간
사용자이름
시스템 사용자
시스템 환경

스니핑
promiscdetect <-> promiscuous 모드

psinfo 컴퓨터 정보 수집
-d 디스크 정보
-s 소프트웨어 정보

hostfix 취약점수정

bat 파일 – prefetch
db파일 저장