Linux/모의해킹

admin 디렉터리 접속 탐지하기

GGkeeper 2022. 1. 13. 21:36

실습> admin 디렉터리 접속 탐지하기

1. 웹 페이지 생성
Attacker# cd /var/www/html
Attacker# mkdir admin
Attacker# echo "Admin Page" > admin/index.html

2. 룰 추가
Attacker# vi /etc/snort/rules/local.rules
alert icmp any any -> any any (msg:"ICMP ping test"; sid: 1000001;)
alert tcp  $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB Admin"; content:"GET";sid: 1000002;)
alert tcp  $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"access to admin page"; content:"GET /admin";sid: 1000003;)

2. snort.sh 스크립트 생성
Attacker# vi snort.sh
#!/bin/sh
# 파일명 : snort.sh
# 프로그램 설명 : snort를 실행하는 스크립트
# 작성자 : KH
# 작성일 : 2022. 01. 13.

interface="-i eth0"
console="-A console"
conf="-c /etc/snort/snort.conf"
user="-u snort -g snort"
option="-q $console $interface $user $conf"
snort $option

Attacker# chmod 755 snort.sh

3. snort / apache2 실행
./snort.sh를 실행해서 침입탐지 시스템을 가동한다.
Attacker# ./snort.sh

apache2 웹서버를 시작한다.
Attacker# sysemctl start apache2

4. 웹페이지 접속
공격자가 웹 디렉터리에 접속한다.
http://192.168.108.102/admin/

5. 접속 로그 확인
admin 페이지에 접속하면 아래처럼 로그가 기록된다.
01/13-05:25:40.460787  [**] [1:1000003:0] access to admin page [**] [Priority: 0] {TCP} 192.168.108.1:29563 -> 192.168.108.102:80
01/13-05:25:40.460787  [**] [1:1000002:0] WEB Admin [**] [Priority: 0] {TCP} 192.168.108.1:29563 -> 192.168.108.102:80

'Linux > 모의해킹' 카테고리의 다른 글

-A console 사용하기  (0) 2022.01.13
CentOS7 에서 snort 설치하기  (0) 2022.01.13
Kali 에서 snort 설치하기 (+snort 란?)  (0) 2022.01.13
positional arguments VS keyword arguments  (0) 2022.01.13
ICMP 생성해서 보내기  (0) 2022.01.13

'Linux/모의해킹'의 다른글

  • 현재글admin 디렉터리 접속 탐지하기

관련글

티스토리툴바