2023. 1. 27. 10:35 WorkHolic

2023.01.26 [한국인터넷진흥원] 최근 대규모 홈페이지 공격(웹변조, 정보유출 등) 관련 IoC 정보 공유

728x90
반응형

[한국인터넷진흥원] 최근 대규모 홈페이지 공격(웹변조, 정보유출 등) 관련 IoC 정보 공유

 

certgen certgen@krcert.or.kr

귀사의 발전을 기원합니다.
 
한국인터넷진흥원 인터넷침해대응센터(https://www.krcert.or.kr)종합상황실입니다.
 
우리원은 민간분야 인터넷침해사고(해킹,웜.바이러스 등)예방 및 대응활동 등을 수행하고 있습니다.
 
o 근거 법령
- 정보통신망이용촉진및정보보호등에관한법률제47조의4(이용자의정보보호)
- 정보통신망이용촉진및정보보호등에관한법률제48조의2(침해사고의대응등)
- 정보통신망이용촉진및정보보호등에관한법률제49조의2(속이는행위에의한개인정보의수집금지등)
- 정보통신망이용촉진및정보보호등에관한법률시행령제56조(침해사고대응조치-접속경로차단요청)
 
 
□ 개요
o 최근 대규모 홈페이지 공격(웹변조, 정보유출 등)과 관련하여 KISA 사고조사 과정에서 확인된 IoC정보 공유
 
□ 요청사항
o 공유드린 IoC 관련하여 귀사 및 귀사의 호스팅 서비스를 이용하는 고객 대상 보안점검 및 보안조치
o 침해사고 확인 시 KISA 신고
 
 
□ IoC
1. 공격 정보
- 공격시점 : 2023.1.20
- SQL 인젝션 : 8.213.132.75(싱가폴) / 5.28.34.201(EU)
- 웹셸 삽입 : 203.69.23.25(타이완) / 142.202.49.101(미국) / 36.227.231.17(타이완) / 114.43.86.96(타이완)/ 106.55.207.123(중국)
 
2. 공격 정보
- 공격시점 : 2023.1.21
- 웹셸에 10회이상 접속한 주요 공격지 IP
5.28.34[.]201 EU(기존사고 중복)
36.227.231[.]17 타이완 (기존사고 중복)
203.69.23[.]25 타이완 (기존사고 중복)
114.43.88[.]126 타이완
114.246.35[.]136 중국
114.247.113[.]166 중국
114.255.249[.]182 중국
111.202.167[.]85 중국
218.190.235[.]118 홍콩
163.47.15[.]102 캄보디아
104.28.211[.]105 미국
156.251.145[.]233 모리셔스
 
□ 침해사고 신고
o 한국인터넷진흥원 인터넷침해대응센터 종합상황실(02-405-4911~5, certgen@krcert.or.kr)
o 'KISA 인터넷보호나라&KrCERT' 홈페이지(www.boho.or.kr) → 상담및신고→ 해킹사고
 

 

#한국인터넷진흥원 #웹변조 #정보유출 #인터넷침해 #해킹사고 #SQL인젝션 #웹쉘

728x90
SMALL

'WorkHolic' 카테고리의 다른 글

2023.01.31 [한국인터넷진흥원] 최근 대규모 홈페이지 공격(웹변조, 정보유출 등) 관련 웹보안도구 서비스 이용 권고  (0) 2023.01.31
2023.01.27 [한국인터넷진흥원] 최근 대규모 홈페이지 공격(웹변조, 정보유출 등) 관련 IoC 정보 공유  (0) 2023.01.27
웹사이트 robots.txt 예시  (0) 2023.01.26
[과학기술정보통신부] 국내 홈페이지 변조관련 민간부문 보안 강화 권고 안내  (0) 2023.01.26
grep 으로 3자리 수 찾기  (0) 2023.01.19
Posted by gromet

2023. 1. 26. 18:40 WorkHolic

웹사이트 robots.txt 예시

728x90
반응형

웹사이트 robots.txt 예시 

 

출처: https://www.rytongolfclub.co.uk/robots.txt

 

  
  # Default exclusions
User-agent: *
Disallow: /assets/cache/
Disallow: /assets/docs/
Disallow: /assets/export/
Disallow: /assets/fileud/
Disallow: /assets/import/
Disallow: /assets/modules/
Disallow: /assets/plugins/
Disallow: /assets/snippets/
Disallow: /assets/packages/ 
Disallow: /assets/tvs/
Disallow: /cgi-bin/
Disallow: /code/
Disallow: /forum/
Disallow: /install/
Disallow: /manager/
Allow: /assets/snippets/dbcalx/
Allow: /assets/snippets/maxigallery/css/
# For sitemap
Sitemap: https://www.rytongolfclub.co.uk/sitemap











# Block MJ12bot as it is just noise
User-agent: MJ12bot
Disallow: /

# Block Ahrefs
User-agent: AhrefsBot
Disallow: /

# Block Sogou
User-agent: sogou spider
Disallow: /

# Block SEOkicks
User-agent: SEOkicks-Robot
Disallow: /

# Block BlexBot
User-agent: BLEXBot
Disallow: /

# Block SISTRIX
User-agent: SISTRIX Crawler
Disallow: /

# Block Uptime robot
User-agent: UptimeRobot/2.0
Disallow: /

User-agent: 008
Disallow: /

# Block Ezooms Robot
User-agent: Ezooms Robot
Disallow: /

# Block Perl LWP
User-agent: Perl LWP
Disallow: /

# Block BlexBot
User-agent: BLEXBot
Disallow: /

# Block netEstate NE Crawler (+http://www.website-datenbank.de/)
User-agent: netEstate NE Crawler (+http://www.website-datenbank.de/)
Disallow: /

# Block WiseGuys Robot
User-agent: WiseGuys Robot
Disallow: /

# Block Turnitin Robot
User-agent: Turnitin Robot
Disallow: /

User-agent: TurnitinBot
Disallow: /

User-agent: Turnitin Bot
Disallow: /

User-agent: TurnitinBot/3.0 (http://www.turnitin.com/robot/crawlerinfo.html)
Disallow: /

User-agent: TurnitinBot/3.0
Disallow: /

# Block Heritrix
User-agent: Heritrix
Disallow: /

# Block pricepi
User-agent: pimonster
Disallow: /
User-agent: Pimonster
Disallow: /

# Block Searchmetrics Bot
User-agent: SearchmetricsBot
Disallow: /

# Block Eniro
User-agent: ECCP/1.0 (search@eniro.com)
Disallow: /

# Block YandexBot
User-agent: Yandex
Disallow: /

# Block Baidu
User-agent: Baiduspider
User-agent: Baiduspider-video
User-agent: Baiduspider-image
User-agent: Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)
User-agent: Mozilla/5.0 (compatible; Baiduspider/3.0; +http://www.baidu.com/search/spider.html)
User-agent: Mozilla/5.0 (compatible; Baiduspider/4.0; +http://www.baidu.com/search/spider.html)
User-agent: Mozilla/5.0 (compatible; Baiduspider/5.0; +http://www.baidu.com/search/spider.html)
User-agent: Baiduspider/2.0
User-agent: Baiduspider/3.0
User-agent: Baiduspider/4.0
User-agent: Baiduspider/5.0
Disallow: /

# Block SoGou
User-agent: Sogou Spider
Disallow: /

# Block Youdao
User-agent: YoudaoBot
Disallow: /

# Block Nikon JP Crawler
User-agent: gsa-crawler (Enterprise; T4-KNHH62CDKC2W3; gsa_manage@nikon-sys.co.jp)
Disallow: /

# Block  MegaIndex.ru
User-agent: MegaIndex.ru/2.0
Disallow: /

User-agent: MegaIndex.ru
Disallow: /

User-agent: megaIndex.ru
Disallow: /

User-agent: wp_is_mobile
Disallow: /
  </pre

 

#robots.txt #로봇배제표준 #로봇배제프로토콜 #접근방지 #접근제한 #메타태그 #크롤링 #보안 #검색엔진

728x90
SMALL

'WorkHolic' 카테고리의 다른 글

2023.01.27 [한국인터넷진흥원] 최근 대규모 홈페이지 공격(웹변조, 정보유출 등) 관련 IoC 정보 공유  (0) 2023.01.27
2023.01.26 [한국인터넷진흥원] 최근 대규모 홈페이지 공격(웹변조, 정보유출 등) 관련 IoC 정보 공유  (0) 2023.01.27
[과학기술정보통신부] 국내 홈페이지 변조관련 민간부문 보안 강화 권고 안내  (0) 2023.01.26
grep 으로 3자리 수 찾기  (0) 2023.01.19
Syncthing: 실시간 파일 동기화 프로그램 (NAS간 동기화 검토)  (0) 2023.01.09
Posted by gromet

2023. 1. 26. 10:46 WorkHolic

[과학기술정보통신부] 국내 홈페이지 변조관련 민간부문 보안 강화 권고 안내

728x90
반응형

TV뉴스에도 나온 내용이며 피해를 당한 홈페이지도 있는 것으로 확인된다.

 

비록 대상으로 지정된 사이트를 관리하고 있는 것은 아니지만 대비를 하고 모니터링을 하려 하고 있다.
우선 아래 나타난 IP들을 차단 조치하고, 백업등을 확인할 예정이다.

 

[과학기술정보통신부] 국내 홈페이지 변조관련 민간부문 보안 강화 권고 안내

 

 

과학기술정보통신부 cybersecurity@korea.kr



안녕하세요. 과학기술정보통신부 사이버침해대응과입니다.
본 메일은 정보보호최고책임자(CISO)를 대상으로 발송합니다.


귀사의 무궁한 발전을 기원합니다.


중국 미상해커조직이 한국의 대한건설정책연구원을 해킹하고 내부 연구원 정보들을 유출하면서 한국정부기관 2,000여개 홈페이지를 해킹하겠다고 선언함에 따라
각 기업 및 기관에서 철저한 보안 대비가 필요합니다.
이에 보안 권고 사항을 안내드리니 피해가 발생하지 않도록 만전을 기해주시기를 당부드립니다.


□ 개요
  o 중국 미상해커조직이 한국의 대한건설정책연구원을 해킹하고 내부 연구원 정보들을 유출하면서 한국정부기관 2,000여개 홈페이지를 해킹하겠다고 선언
   * 해커는 '23.1.21 10:07 국내 홈페이지 해킹을 통해 대규모 공격 예고
  o 이와 관련, 추가 공격이 우려되오니 각 기업 담당자들께서는 홈페이지 모니터링 강화 및 유지보수/위탁업체 연락체계 유지 등 사전 대응이 필요하며 이슈 발생 시 KISA로 정보공유 요청


□ 보안권고사항
 ①  공격에 악용된 IP(7개)
  o 8.213.132.75(싱가폴) / 5.28.34.201(EU) / 203.69.23.25(타이완) / 142.202.49.101(미국) / 36.227.231.17(타이완) / 114.43.86.96(타이완)/ 106.55.207.123(중국) 


 ② 로그인 보안 강화
  o 로그인 기능이 있는 웹사이트에 대한 주기적인 부정 접속이력을 확인하여 비정상 IP 차단 및 유관기관 공유
  o IP당 로그인 시도 횟수 임계치 설정, 캡챠 등을 활용한 자동 로그인 시도 차단 등 부정 로그인 차단 강화
  o 비밀번호 변경 및 이중 인증 기능 사용 등 사용자 계정 보안 강화 조치
 
 ③ 사용자 예방 강화
  o 자사 가입자 대상 계정보안 관리 강화 권고
   - 여러 사이트의 계정 정보를 중복되지 않도록 설정
   - 복잡한 비밀번호 설정 및 3개월 단위로 주기적으로 변경
   - ID, 비밀번호 이외에 OTP, SMS 등을 통한 이중 인증 기능 설정
   - 계정정보가 노출된 경우 반드시 동일한 계정정보를 사용하는 모든 사이트의 비밀번호 변경
  o 사용자 중요 정보 변경(통신요금 등)시 SMS 알림 등 피해 알람 기능 강화
  o 관련 서비스 유지보수/위탁업체의 보안강화 요청
 
□ 침해사고 신고
 o 한국인터넷진흥원 침해대응센터 종합상황실 : 02-405-4911~5, certgen@krcert.or.kr
  ※ 이상 징후 포착 및 침해사고 발생 시, 한국인터넷진흥원 종합상황실 또는 KISA 인터넷 보호나라 홈페이지로 즉시 신고
  ※ 'KISA 인터넷 보호나라' 홈페이지(www.krcert.or.kr 또는 www.boho.or.kr) - 상담 및 신고 - 해킹사고


 o DDoS 공격 사전 대비 및 공격 발생 시 DDoS 방어서비스 이용
  ※ 영세·중소기업은 한국인터넷진흥원에서 무료로 제공하는 DDoS 방어서비스(antiddos@krcert.or.kr, 02-405-4769) 신청
  ※ 그 외 기관·기업은 통신사 등 민간 디도스 공격 방어 서비스 활용을 통한 사전 예방 및 대응
 
 o 근거 법령
   * 정보통신망이용촉진및정보보호등에관한법률제47조의4(이용자의정보보호)
   * 정보통신망이용촉진및정보보호등에관한법률제48조의2(침해사고의대응등)
   * 정보통신망이용촉진및정보보호등에관한법률제49조의2(속이는행위에의한개인정보의수집금지등)
   * 정보통신망이용촉진및정보보호등에관한법률시행령제56조(침해사고대응조치-접속경로차단요청)


*추신*
 o CISO 신고 접수 관련 지역별 전파관리소 담당자 안내
  - 서울전파관리소(서울시, 경기도, 인천시) : 02-2680-1749
  - 부산전파관리소(부산시, 경상남도) : 051-974-5119
  - 광주전파관리소(광주시, 전라남도) : 061-330-6818
  - 강릉전파관리소(강원도) : 033-660-2815
  - 대전전파관리소(대전시, 세종시, 충청남도) : 042-520-4136
  - 대구전파관리소(대구시, 경상북도) : 053-749-2818
  - 전주전파관리소(전라북도) : 063-260-0102
  - 제주전파관리소(제주도) : 064-740-2812
  - 청주전파관리소(충청북도) : 043-261-5856
  - 울산전파관리소(울산시) : 052-231-8883
  ※ CISO 변경 및 현행화가 필요하신 분들께서는 상기 연락처를 이용하여 주시기 바랍니다.
  ※ 연락처 변경에 1주일 가량의 시간이 소요되어 변경을 요청하신 분들께 본 메일이 발송될 수 있음을 양해 부탁드립니다.


감사합니다.
 

 

#과학기술정보통신부 #사이버침해대응과 #중국해커 #홈페이지변조 

728x90
SMALL

'WorkHolic' 카테고리의 다른 글

2023.01.26 [한국인터넷진흥원] 최근 대규모 홈페이지 공격(웹변조, 정보유출 등) 관련 IoC 정보 공유  (0) 2023.01.27
웹사이트 robots.txt 예시  (0) 2023.01.26
grep 으로 3자리 수 찾기  (0) 2023.01.19
Syncthing: 실시간 파일 동기화 프로그램 (NAS간 동기화 검토)  (0) 2023.01.09
root login이 금지된 ssh 서버에 root로 sftp 사용하기  (0) 2022.12.26
Posted by gromet

2023. 1. 19. 18:39 WorkHolic

grep 으로 3자리 수 찾기

728x90
반응형

grep 으로 3자리수 찾기

 

1. '9'로 시작하는 3자리의 수

cat file | grep '^[9][0-9]\{2\}'

 

2. '9'로 시작하는 2자리 또는 3자리의 수 

cat file | grep '^[9][0-9]\{1,2\}'

 

* 터미널 표현 때문에 '\'를 사용한 줄 알았는데 꼭 같이 써 줘야 작동한다.

 

#grep #수찾기

728x90
SMALL

'WorkHolic' 카테고리의 다른 글

웹사이트 robots.txt 예시  (0) 2023.01.26
[과학기술정보통신부] 국내 홈페이지 변조관련 민간부문 보안 강화 권고 안내  (0) 2023.01.26
Syncthing: 실시간 파일 동기화 프로그램 (NAS간 동기화 검토)  (0) 2023.01.09
root login이 금지된 ssh 서버에 root로 sftp 사용하기  (0) 2022.12.26
WARNING: THIS DEVICE HAS BOOTED FROM THE BACKUP JUNOS IMAGE / JUNIPER / 주니퍼  (0) 2022.12.20
Posted by gromet

2023. 1. 9. 19:02 WorkHolic

Syncthing: 실시간 파일 동기화 프로그램 (NAS간 동기화 검토)

728x90
반응형

Syncthing: 실시간 파일 동기화 프로그램 (NAS간 동기화 검토)

 

 

https://syncthing.net/

 

Syncthing

Syncthing is a continuous file synchronization program. It synchronizes files between two or more computers in real time, safely protected from prying eyes. Your data is your data alone and you deserve to choose where it is stored, whether it is shared wit

syncthing.net

 

원격 사무실에서 본사의 NAS에 접속하는데 어려움이 있어 (SMB 사용) 해소 방안을 검토 중이다.
지사 사무실에 NAS를 설치하여 본사와 동기화 시키고 SMB를 이용하면 속도문제도 해소되고 파일 공유 문제도 해결 할 수 있을 것 같다.

 

#NAS #동기화 #파일동기화 #NAS간동기화 #실시간

 

 

728x90
SMALL

'WorkHolic' 카테고리의 다른 글

[과학기술정보통신부] 국내 홈페이지 변조관련 민간부문 보안 강화 권고 안내  (0) 2023.01.26
grep 으로 3자리 수 찾기  (0) 2023.01.19
root login이 금지된 ssh 서버에 root로 sftp 사용하기  (0) 2022.12.26
WARNING: THIS DEVICE HAS BOOTED FROM THE BACKUP JUNOS IMAGE / JUNIPER / 주니퍼  (0) 2022.12.20
SMTP 테스트(bash and telnet to test an email)  (2) 2022.12.17
Posted by gromet

2022. 12. 26. 18:26 WorkHolic

root login이 금지된 ssh 서버에 root로 sftp 사용하기

728x90
반응형

 

root login이 금지된 ssh 서버에 root로 sftp 사용하기

## Block root login to every one ##
PermitRootLogin no

로 설정되어 있는 ssh 서버에서 예외적으로 ssh 로그인을 하는 것과 동일한 방법이다.


첫번째는

PermitRootLogin without-password

로 설정하고 Key login을 이용하는 방법이다.

두번째는

## Block root login to every one ##
PermitRootLogin no
 
## No more password login  ##
PermitEmptyPasswords no
PasswordAuthentication no
 
## Okay allow root login with public ssh key for 192.168.2.5 ##
Match Address 192.168.2.5
        PermitRootLogin yes

위와 같이 "Match" 를 사용하는 방법이다.

 

https://www.cyberciti.biz/faq/match-address-sshd_config-allow-root-loginfrom-one_ip_address-on-linux-unix/

 

#ssh #permitrootlogin

728x90
SMALL

'WorkHolic' 카테고리의 다른 글

grep 으로 3자리 수 찾기  (0) 2023.01.19
Syncthing: 실시간 파일 동기화 프로그램 (NAS간 동기화 검토)  (0) 2023.01.09
WARNING: THIS DEVICE HAS BOOTED FROM THE BACKUP JUNOS IMAGE / JUNIPER / 주니퍼  (0) 2022.12.20
SMTP 테스트(bash and telnet to test an email)  (2) 2022.12.17
POP3 접속 테스트 (BASH check POP3 mail with telnet)  (0) 2022.12.17
Posted by gromet
블로그 이미지
나는 운이 좋은 사람이다 나는 나날이 점점 더 좋아진다 내가 하는 선택과 행동은 반드시 성공으로 이어진다 내게는 인내력과 지속력이 있다 네게는 좋은것들만 모여든다
gromet

공지사항

Yesterday
Today
Total
반응형

달력

 « |  » 2024.7
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31

최근에 올라온 글

최근에 달린 댓글

최근에 받은 트랙백

글 보관함

160x600

티스토리툴바