본문 바로가기

SSH 로그 추적중 재밌는 아이피 요즘따라 SSH 서버에 부르트포싱하는 아이피를 잡아내고 있다.. 최근 이슈였던 log4j도 잡아볼겸 시험삼아 서버 5대와 기존에 운용하고있던 2대에 모니터링을 돌려 디비를 쌓아보고있다. 일주일정도 수집했는데 쌓인 아이피가 394개가량, 이건 추후에 다세히 써보도록하고 한국 아이피로 14개의 아이피가 공격이 들어온 기록이있어 하나하나 구글링 해본참이다. 아이피는 공개할 수 없지만.. 182.**.***.2 마스킹은 대충 이정도로 하면될 것 같다. 대충 이런내용으로 우측 하단에 보면 불라불라라고 써놓은곳 아이피가 동일한 아이피 이다. 비교적 최근글로 보아하니 SSH 공격을 전문적으로 하는것 같은 사람은 아닌것같다. 아니면 정말 타이밍 좋게 내가보던 12월 중순전에 아이피가 바뀐걸지도 모르겠지만... 한국아이.. 더보기
파밍 악성코드 C&C 서버환경 알아보기 파밍하는 애들도 사람인지라 서버 해킹후 특정 포트를 열고 이래저래 설정파일을 밀어넣어 서버를 구축한다. vhost를 사용한건 비교적 최근 파밍들이다. 이전에는 파밍악성코드 실행시 hosts파일에 도메인과 C&C 서버 호스트를 넣어 연결했지만, hosts파일 감지개념이 백신에 생기면서 vhost를 구축하고 접근하는 도메인에 따라 리다이렉트 하게된다. 자신이 마지막으로 확인한 파밍악성코드에 hosts에 해당 도메인이 없는데 C&C에서 어떻게 리다이렉션하냐 물을 수 있다. 이에 답은 익스플로러에 프록시 설정을 확인하면 된다, 파밍 악성코드 감염시 시스템 프록시 상태가 localhost로 되어있고 파밍악성코드가 간이 프록시를 열면서 사용자가 접근한 도메인의 정보를 받아 파밍페이지로 리다이렉션 시키는걸 확인할 수.. 더보기
파밍 악성코드 C&C 서버 관리자 페이지 알아보기 apmsetup 7을 이용해 간단히 디비와 아파치, php7버전을 설치 후 테스트를 해본다. 이전에는 더 구형이 있었고 해당 구형은 php5에서 돌아가는걸로 기억하는데 찾아보고 한번 더 써보는걸로 해야겠다. 가장 최근에 남겨놓은 2017년 06일자 C&C 관리자 페이지 플랫폼이다. 악성코드 공격 후 파밍에 감염된 사람들을 보고 관리할 수 있도록 만들어져 있다. 파밍악성코드에 ca.php로 전달돼는 파라미터들이 전부 C&C로 전송돼어 정보를 디비에 담는걸로 돼어있다. 해당 디비 구조는 sql로 덤프된 파일이 포함되어있어 간단히 import해주면 됬다. 공격자도 사람인지라 귀찮은가보다. 해당 해시는 "e9dd99189ea24cf7b2ce2cbca5ea65f6" 구글에 MD5 시트검색해보니 qwqw1212라 .. 더보기