현재 위치

›› Forums ›› 공부 ›› 프로그래밍 QnA

해킹 탐지된 내용 분석?

nayana의 이미지
글쓴이: nayana / 작성시간: 월, 2005/05/30 - 3:38오후

Quote:
침입 정보
설명 값
룰 HTTP _vti_rpc
호스트 nids-giga
침입 시간 05/30/2005 14:21:40
출발지 172.17.56.68
목적지 211.115.158.8
침입자 네트워크 사용자
Time to Live 124
상세 정보 있음

패킷 헤더
키 데이터
Time 05/30/2005 13:56:50
Protocol TCP Protocol
Ethernet Source Address 00:09:43:2E:C3:FF
Ethernet Target Address 00:00:5E:00:01:02
Ethernet Type 2048
IP Source Address 172.17.56.68
IP Target Address 211.115.158.8
TCP Source Port 4848
TCP Target Port 80
InBounding yes
OutBounding no
IP Header Length 20
IP Version 4
IP Type Of Service 0
IP Data Length 417
IP Identification 32434
IP Flags DF
IP Fragment Offset 0
IP Time To Live 124
IP Protocol 6
IP Checksum 10431
TCP Sequence Number 863495555
TCP Acknowledgement Number 191827370
TCP Header Length 20
TCP Data Length 397
TCP Flags PSH ACK
TCP Window 65535
TCP Checksum 18666
TCP Urgent Pointer 0
PromiscMode yes
Agent Device IP Address 0.0.0.0

패킷 데이터
시작 주소 아스키 헥사
0x0000 POST /_vti_bin/s 50 4f 53 54 20 2f 5f 76 74 69 5f 62 69 6e 2f 73
0x0010 html.exe/_vti_rp 68 74 6d 6c 2e 65 78 65 2f 5f 76 74 69 5f 72 70
0x0020 c HTTP/1.1..Date 63 20 48 54 54 50 2f 31 2e 31 0d 0a 44 61 74 65
0x0030 : Mon 30 May 20 3a 20 4d 6f 6e 2c 20 33 30 20 4d 61 79 20 32 30
0x0040 05 05:21:40 GMT. 30 35 20 30 35 3a 32 31 3a 34 30 20 47 4d 54 0d
0x0050 .MIME-Version: 1 0a 4d 49 4d 45 2d 56 65 72 73 69 6f 6e 3a 20 31
0x0060 .0..User-Agent: 2e 30 0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20
0x0070 MSFrontPage/4.0. 4d 53 46 72 6f 6e 74 50 61 67 65 2f 34 2e 30 0d
0x0080 .Host: moolynaru 0a 48 6f 73 74 3a 20 6d 6f 6f 6c 79 6e 61 72 75
0x0090 .knu.ac.kr..Acce 2e 6b 6e 75 2e 61 63 2e 6b 72 0d 0a 41 63 63 65
0x00a0 pt: auth/sicily. 70 74 3a 20 61 75 74 68 2f 73 69 63 69 6c 79 0d
0x00b0 .Content-Length: 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a
0x00c0 41..Content-Typ 20 34 31 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70
0x00d0 e: application/x 65 3a 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f 78
0x00e0 #NAME? 2d 77 77 77 2d 66 6f 72 6d 2d 75 72 6c 65 6e 63
0x00f0 oded..X-Vermeer- 6f 64 65 64 0d 0a 58 2d 56 65 72 6d 65 65 72 2d
0x0100 Content-Type: ap 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 61 70
0x0110 plication/x-www- 70 6c 69 63 61 74 69 6f 6e 2f 78 2d 77 77 77 2d
0x0120 form-urlencoded. 66 6f 72 6d 2d 75 72 6c 65 6e 63 6f 64 65 64 0d
0x0130 .Connection: Kee 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 4b 65 65
0x0140 p-Alive..Cache-C 70 2d 41 6c 69 76 65 0d 0a 43 61 63 68 65 2d 43
0x0150 ontrol: no-cache 6f 6e 74 72 6f 6c 3a 20 6e 6f 2d 63 61 63 68 65
0x0160 ....method=serve 0d 0a 0d 0a 6d 65 74 68 6f 64 3d 73 65 72 76 65
0x0170 r+version%3a4%2e 72 2b 76 65 72 73 69 6f 6e 25 33 61 34 25 32 65
0x0180 0%2e2%2e4715. 30 25 32 65 32 25 32 65 34 37 31 35 0a

탐지 근거
URL: /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1

다음과 같은 정보가 패킷이 캡쳐가 되었습니다.
그런데 도통 아무리 봐도 무슨말인지 모르겠네요...
혹시 이런 내용이 캡쳐가 되었을때...분석할 방법이 있나요..
아니면...공부할수 있는 사이트가 있나요..?
우선은 패킷데이터 부분의 헥사 부분을 해석할려고 하는데..
이런건 어떻게 해야하는지요?

Forums: 
프로그래밍 QnA
익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 월, 2005/05/30 - 4:17오후

그 url이 해킹 근건가요? 무슨 웜 아닌가요? 그런 녀석들까지 감지하면 로그 파일 엄청 커질텐데요. 제 경우는 그런 놈들은 로그 한줄만 남기고 모두 192.0.2.1(혹은 MS)로 리다이렉트 해버립니다.

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 월, 2005/05/30 - 4:34오후

WEB-FRONTPAGE shtml.exe access라는 로그를 남기는
snort기준 sid로는 962번 탐지룰에 걸린것이고,
cve기준 2000-0709이군요.
- www.snort.org.가서 룰 검색해 보거나 하면 알게 됩니다.

만일, IDS, IPS 제작에 관심이 있는 것이 아니라면, 해석하려고 하지마세요.
정~ 궁금하면, 납품한 업체사람에게 물어보세요.

* 그리고, 위 헥사덤프에는 별다른 의미가 없습니다. 단지, 특정 문자열 패턴이
나타났다는 것 외에는요. 위 덤프의 경우 "/_vti_bin/shtml.exe"라는 문자열이
패킷에 있다.외에 별다른 의미는 없습니다.

nayana의 이미지

글쓴이: nayana / 작성시간: 월, 2005/05/30 - 4:41오후

답변에 감사드립니다.
일단 우선은 웜은 아닌것 같습니다. 그 이유는 확장서이
없는걸로 판단이 되기 때문입니다.
그리고

Quote:
cve기준 2000-0709

무슨말인지요...
그리고 한번 끝까지 분석을 해보고 싶습니다.
나름대로 ips, ids 관심이 있어서리..^^
익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 월, 2005/05/30 - 4:55오후

nayana wrote:
답변에 감사드립니다.
일단 우선은 웜은 아닌것 같습니다. 그 이유는 확장서이
없는걸로 판단이 되기 때문입니다.
그리고
Quote:
cve기준 2000-0709

무슨말인지요...
그리고 한번 끝까지 분석을 해보고 싶습니다.
나름대로 ips, ids 관심이 있어서리..^^

http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=2002-0692

동일한 패턴에 대해, 사이트별로 다르게 관리번호 또는 인덱스를 부여하여 관리합니다.
그래서, snort측에서는 sid =962로 관리하고 있고,
cve에서는 2000-0709라는 번호로 관리하고 있다는 얘기지요.
그외 bugtraq 및 nessus에서도 나름대로의 관리번호를 가지고 있습니다.
설명의 상세한 정도나, 분석정도, 문서화 수준등은 사이트별로 각각 다릅니다만 역시 대동소이합니다.

* 개인적으로 대한민국사람/회사에서도 새로운 그러나 쓸만한 단 하나의 패턴이라도 올려서, 전세계에서 널리 쓰이게 할 수 있으면 좋겠다는 바램이 있기는 합니다.

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 월, 2005/05/30 - 5:40오후

Anonymous wrote:
* 개인적으로 대한민국사람/회사에서도 새로운 그러나 쓸만한 단 하나의 패턴이라도 올려서, 전세계에서 널리 쓰이게 할 수 있으면 좋겠다는 바램이 있기는 합니다.

국내에 그런 실력을 갖춘 사람 중에 위와 같은 작업을 할만한 시간이 있는 사람이 있을지...
다들 무한 노가다에 지쳐있지 않나요?

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.