시스템관리자의 쉼터 커피닉스 커피향이 나는 *NIX
커피닉스
시스템/네트웍/보안을 다루는 곳
 FAQFAQ   검색검색   멤버리스트멤버리스트   사용자 그룹사용자 그룹   사용자 등록하기사용자 등록하기 
 개인 정보개인 정보   비공개 메시지를 확인하려면 로그인하십시오비공개 메시지를 확인하려면 로그인하십시오   로그인로그인 

가입없이 누구나 글을 쓸 수 있습니다. 공지사항에 대한 댓글까지도..




BBS >> 설치, 운영 Q&A | 네트웍, 보안 Q&A | 일반 Q&A || 정보마당 | AWS || 자유게시판 | 구인구직 || 공지사항 | 의견제시
7.13(월) 커피닉서 이야기 (보안, 서버 운영 등)

 
글 쓰기   답변 달기    커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> *NIX / IT 정보
이전 주제 보기 :: 다음 주제 보기  
글쓴이 메시지
truefeel
카페 관리자


가입: 2003년 7월 24일
올린 글: 1277
위치: 대한민국

올리기올려짐: 2009.7.14 화, 11:58 pm    주제: 7.13(월) 커피닉서 이야기 (보안, 서버 운영 등) 인용과 함께 답변

2009.7.13(월)에 커피닉서끼리 했던 이야기 중에 자세한 내용은 생략하고, 각 내용을 한두줄로 요약했다.
티니, 미르, sCag, kaien, 좋은진호, spy, 범냉이, aqua 등

< 서버 운영 에피소드 >

1) 테스트 서버 리부팅한다는 것을 운영 서버 리부팅한 에피소드.
2) 리눅스 노트북인줄 알고 shutdown 했던 에피소드. 그러나 서버였다.
3) 고객 중 실수로 chmod -R 777 / 했는데, 원래대로 복구 가능하냐는 문의를 받았던 에피소드

< 보 안 >

- CSRF/XSRF
- OWASP top 5 attack 사례별로 잘 정리한 동영상 (CSRF/XSRF, XSS ...)
http://www.irongeek.com/i.php?page=videos/owasp-top-5-louisville
- CSRF/XSRF 관련 자료는 certlab님이 작성한 자료 좋아.
- radware AppWall Web Application Firewall Source Code Disclosure

- arp poisoning 자주 발생하고 있어
- arp poisoning 확인할 때, arpwatch는 한계가. ettercap의 arp_cop 플러그인 쓸만해
arp_cop: (IP-conflict) [00:0E:xx:xx:xx:xx] wants to be 192.168.xxx.xxx[00:0E:0C:xx:xx:xx]
arp poisoning할 때 MAC만 찾아줘도 해당 머신은 금방 찾을 수 있어 도움.

- arp poisoning발생이 의심될땐
1) ettercap -T -i eth0 -P arp_cop /0.0.0.0/
2) ettercap이 없다면 tcpdump -etni et0 arp
대부분의 poisoning 자체가 reply라서 | egrep reply를 해주면.
- GET flooding에 대해서는
tcpdump -nnvvXXSs 1024 -i eth0 dst port 80 and \( tcp[13]\&0x08 \) != 0

- 로그저장 및 분석 솔루션은 "디지털시큐"사의 "로그세이버" 제품이 시장점유 1위이고
"테크제이"사의 "포렌시스" 제품이 후발주자로 약간 정도 시장에 진출한 듯.
- Guidence 사의 포렌식 툴 Encase

- 공통적인 로깅의 Order
0. 모든 사항에 대해 로깅 하도록 한다.
1. 최대한 모든것들을 유지 하도록 한다.
2. 충분히 분석한다.
4. 종합하고 레포팅 한다.
5. 실시간으로 행동하면 더 좋다!

- 로깅에 대한 실수
0. 로깅을 하지 않는다.
1. 로그를 보지 않는다.
2. 너무 짧은 시간의 로그만을 저장한다.
3. 로그 수집전에 로그의 순위지정을 하지 않는다.
4. application으로 부터 불필요한 로그는 Ignoring해논다.
5. 오직 필요한 “알려진 위험성” 로그만 본다.

- O'Reilly Webcast: The Top Five Log Analysis Mistakes 동영상
http://www.youtube.com/watch?v=p0MXPHDZp9k

- Velocity 09: Jonathan Heiliger, "After the Click" (동영상, Facebook 근무)
http://velocityconference.blip.tv/file/2279687/

- 안정브라우징에서 sportschosun.com 악성 스크립트 메시지는 아직도 나와.
코드:

  sportschosun.com/, ardoshanghai.com/, shunxing.com.cn/을(를) 포함한 3개의 도메인에서 악성 소프트웨어를 호스팅하고 있습니다.
  9919개의 페이지 가운데 60개에서 사용자 동의 없이 악성 소프트웨어가 다운로드 및 설치된 것으로 확인되었습니다.


< 기 타 >

- ext4 퍼포먼스 좋다.
- RHEL 5.4부터는 Xen아닌 KVM을 민다. KVM이 미래적 가상화시스템에 가장 적합하여 Xen대신 KVM을 선택한거다라고.
- DB BMT건

- 미출시된 초콜릿폰 II(LG-BL40, 블랙라벨 4번째 시리즈)의 user-agent. 국내 IP에서 접속. 테스트위해 접속?
유럽에서 8월에 출시, 국내는 4/4분기에. 브라우저는 Obigo Q7.3, 미디어플레이어는 LGPlayer 1.0.
코드:
  LG/BL40/V08m Browser/Obigo-Q7.3 MMS/LG-MMS-V1.0/1.2 MediaPlayer/LGPlayer/1.0 Java/ASVM/1.1 Profile/MIDP-2.1 Configuration/CLDC-1.1


- 하나로 DNS서버의 캐싱은 반영이 너무 느려. DNS정보 변경했어도 하나로 DNS에서는 예전 정보가.
- 윈도에서 캐싱 삭제 ipconfig /dnsflush
- IE브라우저의 DNS캐싱 30분이 default인데, 실제 맞는지 테스트중

- [하태경 기고] 아직도 북한 IP 타령인가?
http://news.joins.com/article/589/3684589.html?ctg=2002

- 38.99로 시작하는 IP 대역
http://www.ip-adress.com/ip_tracer/38.99.44.103
위로
사용자 정보 보기 비밀 메시지 보내기 글 올린이의 웹사이트 방문
이전 글 표시:   
글 쓰기   답변 달기    커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> *NIX / IT 정보 시간대: GMT + 9 시간(한국)
페이지 11

 
건너뛰기:  
새로운 주제를 올릴 수 있습니다
답글을 올릴 수 있습니다
주제를 수정할 수 없습니다
올린 글을 삭제할 수 없습니다
투표를 할 수 없습니다


Powered by phpBB © 2001, 2005 phpBB Group