본문 바로가기

프로세스13

728x90
웹 해킹 서버 분석과 웹쉘 대응방법 가끔 접속 자 수도 많지도 않은데 로드가 높아서 서버 접속이 원활하지 못하다거나 나의 서버가 스팸서버로 지정 되어서 상대방에게 메일을 보냈는데도 차단되었다거나 혹은 idc 보안 관제 센터에서 당신네 서버가 외부로 ddos공격을 하고 있으니 빨리 조치를 취하지 않으면 네트워크를 차단시키겠다는 경고성 전화를 받았을 때 어떻게 조치를 취해야 하는지 막막할 경우가 있다. 이럴 경우 웹 해킹에 의해서 서버가 해커에 의해 조종되고 있지 않는지 살펴 볼 필요성이 있다. 이번에는 실제 사례를 가지고 웹 해킹 침해 사고 시 대처 방법을 소개해 보고자 한다. 해킹된 서버는 redhat9를 사용하고 있으며 커널 버전은 2.4.20-8이다. 웹서버는 apache + php + mysql 기반으로 돌아가고 있으며 앞으로 모든 .. 2012. 3. 5.
윈도우에서 특정 프로세스 강제 종료하는 방법 윈도우에서 특정 프로그램이 먹통된 경우, 일반적으로 작업 관리자를 띄워서 응용 프로그램 탭에서 작업 끝내기 버튼을 누르실 텐데, 가끔 이렇게 눌러도 먹통된 상태로 머무르는 경우가 있습니다. 물론 이럴 때 깔끔하게 재부팅 한번 해줘도 되겠지만, 명령어를 이용해서 프로세스를 종료해봅시다. 프로세스를 종료시킬 때 사용하는 명령어는 taskkill 입니다. 리눅스의 kill 명령어와 비슷하다 보시면 됩니다. 기본적으로 2가지 방식을 사용하는데 taskkill /f /im xxxx.exe taskkill /f /pid 0000 /f 옵션은 강제로 종료하겠다는 말이고 /im 옵션은 이미지 이름을 지정하겠다는 말입니다. /pid 옵션은 말 그대로 PID 값(숫자)을 지정하겠다는 말이구요. 이미지 이름이나 PID는 어.. 2012. 1. 17.
Comodo Cleaning Essentials (CCE) Comodo Cleaning Essentials (CCE) is a set of computer security tools designed to help users identify and remove malware and unsafe processes from infected computers. Comodo Cleaning Essentials (CCE) is a set of powerful security tools designed to help users identify and remove malware and unsafe processes from Windows computers. Designed as a portable application, the software requires no instal.. 2011. 10. 25.
원격 윈도우 프로세스 제어 (taskkill, tasklist) 윈도우 환경에서 원격 호스트의 프로세스 리스트 및 프로세스 종료를 수행할 수 있는 명령이다. /P를 입력안하면, 권한 요청시 암호를 입력할 수 있다. 예) > tasklist /S 111.222.111.222 /U User /P pppp > taskkill /S 111.222.111.222 /U User /P pppp /IM aaa.exe TASKLIST [/S 시스템 [/U 사용자 이름 [/P [암호]]]] [/M [모듈] | /SVC | /V] [/FI 필터] [/FO 형식] [/NH] 설명: 이 명령줄 도구는 현재 로컬 또는 원격 시스템에서 실행되고 있는 응용 프로그램 및 관련 작업/프로세스 목록을 표시합니다. 매개 변수 목록: /S 시스템 연결할 원격 시스템을 지정합니다. /U [domain\]u.. 2011. 6. 15.
[윈도우] 숨겨진 프로세스를 찾는 방법들 1. EPROCESS의 ActiveProcessLinks Linked List를 이용해서 Traverse. ( 왠만한 루트킷들은 이 값을 조작하므로 별로 소용없을지도 모르지만, ZwQuerySystemInformation()을 후킹하여 결과값을 조작하는 식으로 숨기는 경우는 이 방법으로 손쉽게 찾아낼 수 있습니다. ) 2. ZwOpenProcess() Brute-Force Detection 유효 PID인 0L부터 0xFFFFL까지 4의 배수들을 모두 Open해서 성공적으로 열어지는 프로세스를 감지합니다. 단, 프로세스가 종료되었으나 핸들이 닫히지 않은 경우에도 Open되므로 추가적인 확인이 필요합니다. 3. PspCidTable Traverse Windows NT에는 PspCidTable이라는 Unexp.. 2010. 1. 6.
728x90