침해사고는 사이버 공격 행위에 따라 나타난 여러 종류의 피해로, 컴퓨터 바이러스나 서비스 거부(DoS) 공격 등으로 피해를 입은 경우를 통칭한다. 악성 프로세스가 있는지 확인악성코드로 의심되는 수상한 파일이 시스템 내에 존재하는지 탐지시스템에서 자동으로 실행되는 악성코드 확인네트워크 분석으로 외부와의 통신 분석 더보기실습 환경 구성을 위해 게스트PC에서 Keylogger(사용자가 키보드에 입력하는 내역 기록하는 프로그램) 스크립트를 생성한다.netstat -a 으로 IP와 사용하지않는 포트번호를 확인할 수 있다. # /usr/bin/python3# keylogger.pyimport keyboardimport socketimport threadingimport osfrom time import sleepI..

시스템 로그Linux의 /var 디렉토리에는 시스템에서 사용하는 가변 데이터 파일들이 저장된다. 시스템 로그 또한 이곳에 존재한다. 이에 대한 설정값은 /etc/rsyslog.conf 파일에 존재한다.파일의 소유자, 그룹, 권한을 설정하고 로그를 임시로 저장하기 위한 공간(spool)로 /var/spool/rsyslog, 추가적인 설정은 /etc/rsyslog.d/*.conf를 통해 이루어진다.#이 붙어있는 것들은 비활성화 상태인 것들이다. 실습을 위해 #을 삭제해 모두 활성화 시켜준 뒤, sudo systemctl restart syslog로 로그 시스템을 재시작, 로그 기록을 위해 시스템 재부팅 후 /var/log에 활성화한 로그가 생성되는지 확인한다./var/log에 저장되는 모든 로그가 이 파일로..

시스템 접속우선 시스템에 접속을 해야한다. 경우에 따라 시스템에 접속되어있는 PC를 받을 수도 있지만, 그렇지 않은 경우 시스템에 원격으로 접속해야한다. 일반적으로 사용되는 방법은 ssh이다. SSH(Secure Shell)은 원격 호스트에 접속하기 위해 사용되는 인터넷 프로토콜 혹은 프로그램이다. ssh 실습을 위해서 가상머신의 네트워크 설정이 필요하다. 여기서는 Bridged Adapter모드로 진행한다. 더보기가상머신에는 호스트와 게스트가 존재하며 호스트는 원래의 PC, 게스트는 가상머신을 통해 설치된 PC이다. Bridged Adapter 모드는 호스트와 게스트가 같은 네트워크에 연결되는 모드이다. 게스트가 호스트의 네트워크 어댑터와 직접 연결된 것 처럼 통신한다. 별도의 네트워크 설정 없이 ..