Category Archives: WHORU

해킹 명령어를 이용한 침해 탐지 (Hacker command)

Hacker command? 침해사고를 조사하다보면 해커들이 자주 사용하는 명령들에 대해서 알 수 있습니다. 그럼  해킹 명령어를 이용한 침해 탐지 방법에 대해 알아보도록 하겠습니다. 아래 글을 읽어보면 해커가 자주 사용하는 명령를 이용한 명령과 Applocker를 사용해서 해당 프로그램을 사용하려고 하였을때 실행을 막고 오류를 윈도우 로그에 남기는 방법이 소개되어 있습니다.   http://blog.jpcert.or.jp/.s/2016/01/windows-commands-abused-by-attackers.html 초기 탐지 조사 공격   제 기준으로

Read More

WHORUEvent install guide (KOR)

서버 보안을 위해 진행하는 사항들중 대부분은 원격에서 실행할 수 있는 WMI, PowerShell 등을 차단하고, 서버에 연결할 수 있는 네트워크 포인트를 최소화 하는 작업을 한다. 하지만 remote desktop의 경우 서버의 작업을 위해 필수로 오픈을 할 수 밖에 없다. 여기에 서버의 개발자, 담당자등 필요 인력들만 접근할 수 있도록 보안을 강화하지만, 개발자 및 담당자의 작업 PC들도 안전하지 않다.

Read More

WHORU Web [한글 메뉴얼]

WHORU WEB? WHORU WEB는 시스템의 상황을 중앙 로그로 남겨, 추후 문제점이 발생하였거나 보안 사고가 발생했을때 이용할 수 있는 빅데이터 수집기라 할 수 있습니다. WHORU WEB가 남기는 로그는 네트워크 이용 기록, 프로세스 실행 기록,  로그인 기록, 그리고 파일 삭제/생성 기록으로써 서버에서 발생한 모든 로그를 남기게 됩니다. 그리고 Syslog 기반으로 동작해 쉽게 네트워크 장비의 로그를 합칠 수

Read More

Install Guide [Database for WHORU Syslog, Webserver]

You just fellow next step. 1. Must take and install mssql express 2014 ( http://msdn.microsoft.com/ko-kr/evalcenter/dn434042.aspx express edition limit size, so i recommend more high version) 2. When install finish you create mssql account. here we offer to sql script. red text you must change(alert: you need to check a sql server logon by server authentication)! USE

Read More

Install Guide [WHORU syslog]

Before you setup WHORU Webserver, You have to install mssql read to this post   Frist Firewall open port udp 514, Then run to WHORU of service. Basic setup default need to db and syslog ip in whoru.ini [Syslog] IP=ANY Port=514 [DB]<– setting to website use db information IP=127.0.0.1 User=esm Pass=P@ssw0rd   Notice use to hipchat.

Read More

Install Guide [WHORU WEBSERVER]

Before you setup WHORU Webserver, You have to install mssql read to this post 1. IIS install(include check ASP.NET and below roles) 2. MVC 4.0 Install (http://www.asp.net/mvc/mvc4) 4. Unzip whoruwebsite zip file. then you have to change mssql account esm password in connectionStrings of web.config.   5. IIS create new site set on unzip folder

Read More