리눅스에서만 사용하던 Rsync를 이제는 윈도우에서 만나자.

1.프로그램을 다운받는다.

   http://www.itefix.no/cwrsync

   - cwRsync - 클라이언트

   - cwRsync Server - 서버

2.다운받은 프로그램을 각각의 컴퓨터에 설치한다.

   자료를 보내는 쪽 - 클라이언트

   자료를 받는쪽 - 서버

   로 설치한다.

3.서버설치 방법

   use chroot = false
  strict modes = false
  hosts allow = *
  log file = rsyncd.log
  pid file = rsyncd.pid

 # Module definitions
 # Remember cygwin naming conventions : c:work becomes /cygwin/c/work
 #
 [mirror]
 path = /cygdrive/c/inch (바꿀부분)
 read only = false
 transfer logging = yes

바꾼후 제어판 서비스 시작에서 rsync server 를 자동으로 실행

4.로컬설치방법

   설치후 따로 변경할 거 없다.

   배치파일만 만들면 오케이

  예제)

  cd c:program FilescwRsyncbin

  rsync -avz --times /cygdrive/c/inch/test/ rsync://192.168.10.10/mirror/

 /test/ -->폴더까지 copy   ,    /test -->test 안에있는 내용만 copy

* 주의사항

  방화벽이 있을시 방화벽 설정부문에서 

  cwsyncy를 사용등록후, 포트를 873 TCP 로 등록후 사용 (서버부분)

  여러개의 컴퓨터로 전송시 전송하는 한컴퓨터만 로컬이 되고 나머지는 전부 서버 컴퓨터가되어야 합니다.

다음은 Windows 2003 에서 간단하게 세팅 가능한 IIS metabase 자동백업설정 입니다. 
물론 원하는 내용으로 복원도 가능 합니다. 

1) 시작 - 실행 - cmd 
2) 우선 systemroot 디렉토리로 이동합니다. 
    cd c:WINDOWSsystem32 

3) backupname 이라는 이름으로 IIS 설정을 백업 합니다. 
    c:WINDOWSsystem32>iisback /backup /b backupname 
    서버에 연결...완료. 
    Backup saintbackuptest version NEXT_VERSION has been CREATED. 

4) 정상적으로 백업이 되었는지 확인 합니다. 
    C:WINDOWSsystem32>iisback /list 
    서버에 연결...완료. 
    Backup Name                        Version #      Date/Time 
    ================ 
    IISbackuptest                      0              2009-01-07 오후 5:01:01 
    IISbackuptest                      1              2009-01-07 오후 5:02:00 
    초기 백업 - IIS 설치 프로그램에서 자동으로 만듦      1              2007-01-08 
    오후 3:03:51 

    위 백업리스트에서 Version 부분이 나중에 복원할때 쓰이는 내용입니다. 
    0 번 버전으로 복원 또는 1번 버전으로 복원.. 

위와같은 내용을 자동으로 실행하도록 batch 파일을 생성 합니다. 
메모장을 열어서 다음 내용을 기록 한 후 iisbackup.bat 라는 확장자 명으로 저장 합니다. 

cd c:WINDOWSsystem32 
c:WINDOWSsystem32>iisback /backup /b backupname 
C:WINDOWSsystem32>iisback /list 

5) 문제 발생시 백업본으로 복원을 할 경우 다음 명령어를 실행 합니다. 

    c:WINDOWSsystem32>iisback /restore /b backupname /v 3 

    => /v 3  라는 부분은 Version 정보중에 3번 버전으로 복원 한다는 내용입니다. 
    /v 옵션을 제거할 경우 기본값으로 가장 높은 버전으로 복원 합니다. 
  

# 첨부파일은 IISBACKUP 이라는 이름으로 IIS구성/설정이 저장 되도록 설정된 batch 파일입니다. 
시작 - 프로그램 - 보조프로그램 - 시스템 도구 - 예약된 작업 탭에서 IIS 백업을 원하는 주기로 
자동백업 설정을 하시면 됩니다 . 

iisback /list 명령어를 사용하지 않고 수동으로 백업 상태를 확인 할때는 
C:WINDOWSsystem32inetsrvMetaBack  디렉토리를 확인하면 IIS 구성/설정 백업데이터를 확인할 수 있습니다. 


[작성] 박성우

아래처럼 홈디렉토리, DB파일 백업 배치파일 작성 후,
[보조 프로그램] - [시스템 도구] - [예약된 작업]에 등록을 하면 됩니다.


c:\backup.bat

net use z: \\HB1.sysdocu.com\sysdocu sysdocupassword /user:sysdocu
xcopy  /E /S /Y /D /I  C:\InetpubwwwrootWebService  z: 
net use z: /del /yes

c:\db_backup.bat

net use y: \\HB1.sysdocu.com\sysdocu/DB sysdocupasswd /user:sysdocu
y:
del sysdocu_db* /Q
xcopy  /E /S /Y /D /I  D:\db_Backntourpix  y: 
net use y: /del /yes 
 

[참고1]

넷드라이브 고정시켜놓고 xcopy 명령 한줄만 사용해도 됩니다.
고정시 원본서버 공유디렉토리 허용인원 1명으로 해놓으면 보안상 좋습니다.

[참고2]
금일 날짜로 디렉토리 및 파일 생성시 : %date%

[참고3]

오래된 파일 삭제

forfiles /p d:\test /d -7 /c "cmd /c rmdir /s /q @file"  : 디렉토리 삭제

forfiles /p d:\test /d -7 /c "cmd /c del /s /q @file"  : 파일 삭제

/p : 삭제대상 디렉토리 (지정한 디렉토리 하위 디럭토리부터 삭제)

/d : 보관일수 (7일 이상지난 폴더 삭제)

※ 디렉토리 삭제시 /p에서 지정한 디렉토리 밑에 파일이 있을경우, 삭제가 되지 않습니다.

     (날짜별로 하위폴더 생성 뒤 백업해 놓아야 합니다.)

     => 디렉토리와 파일을 다 같이 지우려면 두줄 다 사용해야 합니다.

※ 매개변수 오류가 나타날 경우 폴더명 앞뒤로 쌍따옴표를 붙여줍니다.

    예) "C:\Program Files (x86)FoldersDatabase" e:\backup%date%

[참고4]

파일을 압축 보관할 경우

- 우선 7zip 프로그램를 설치 합니다.

- 아래 스크립트를 참고하여 수정을 하면 됩니다.

xcopy /E /S /Y /D /I c:\APM_SetupServerMySQL5data* d:\backupmysql_data%date%
cd C:\Program Files7-Zip
7z.exe a d:\backupmysql_datamysql%date%.zip d:\backupmysql_data%date%
del -r d:\backupmysql_data%date%
forfiles /p D:\backupmysql_data /d -7 /c "cmd /c del /s /q @file"

 ★ 넷드라이브 연결 후 xcopy 명령을 수행할때

      파일이 많은경우 복사할 파일이 없어도 느린경우가 있습니다.

      이경우 옵션을 바꾸어주면 파일 체크는 1초내에 끝내며 복사되지 않은 파일만 복사합니다.

      예) xcopy /E /S /Y /D /I Z:*.*  E:\copyfolder    // 이게 느릴경우 (테스트시 속도가 느리고 트래픽도 1.8배 많이 발생)

            xcopy /A /D /Q /H Z:*.*  E:\copyfolder      // 이렇게 합니다.

Date: 2008-06-16 ; Time: 17:17:59 ; Site Instance: W3SVC4 ; Event: OnPreprocHeaders 
Client IP: xxx.xxx.xx.175 ; Username: ;

Additional info about request (event specific): GET / 
OVRAW=%EC%96%BC%EB%A7%88%EC%97%90%EC%9A%94&OVKEY=%EC%96%BC%EB%A7%88%20%EC%97%90%EC%9A%94&OVMTC=standard&OVADID=5747216042&OVKWID=75668591542 
HTTP/1.1 
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;http://bsalsa.com) 
.NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022) 
BLOCKED: 'user-agent: mozilla' not allowed in User Agent

위 로그에서 정상 사용자들이 차단된 원인은 Header의 User-Agent 값에 ‘user-agent: mozilla'라는 값이 필터링 룰에 매칭되어 차단된 것입니다. 
AQTRONIX는 Robots.xml 파일을 통해 User-Agent의 Database를 만들어 지속적으로 업데이트 하고 있습니다. 다음의 URL에서 해당 차단된 User-Agent를 검색해 보면 User-Agent를 속이는 Agent로 ‘Other Bad' 섹션에 분류되어 있습니다.

http://www.aqtronix.com > User-Agent 메뉴 > Lookup 에서 Agent 검색

Robots.xml 을 열어 Other Bad로 이동해 보면 User-Agent Other Bad와 User-Agent Other Bad Sequence 두개 항목이 있는데 이 두곳에서 해당 Agent 정보를 찾아 삭제하시면 됩니다.

※ 각 항목명과 각 항목명 Sequence의 차이

User-Agent Other Bad : Other Bad 섹션의 차단하고자 하는 Full User-Agent값

-> 차단메시지: "BLOCKED: User Agent not allowed"

User-Agent Other Bad Sequence : Other Bad 섹션의 차단하고자 하는 각 키워드

-> 차단메시지: "BLOCKED: '매칭된 키워드' not allowed in User Agent"

중요한 것은 차단된 사용자의 PC에 이런 Agent값을 갖는 악성 프로그램이나 스파이웨어가 설치된 것은 아닌지 먼저 점검 해봐야 합니다.

[출처] 웹보안툴박스 | WAFsupport 

(http://toolbox.krcert.or.kr/MMBF/MMBFBBS_V.aspx?MENU_CODE=42&BOARD_ID=12&BOARD_NUMBER=6&SEARCH_TYPE=&SEARCH_WORD=&PAGE_INDEX=0&UPPER_BOARD_NUMBER=)

WebKnight Configuration  >  Global Filter Capabilities  >  Is Installed As Global Filter 체크 해제 합니다.

문서작성일 : 2010. 01

제2010-15호-WebKnight_로그분석_안내서.pdf

파일 첨부

081107_윈도우 환경에 ModSecurity 설치하기.pdf

한국 IP 에서만 접속 가능하며, 그 이외의 IP (해외IP)에서는 접속이 불가능합니다.

IP대역은 수시로 바뀌기 때문에 갱신도 자주 해야 합니다.

서버가 클라이언트가 되어 외부로 요청 가능한 포트는 아래 리스트만 오픈 하였습니다.

80 tcp

443 tcp

53 tcp / udp

21 tcp

20 tcp / udp

25 tcp

1433 tcp

한국 IP대역 적용일 : 2013년 8월 22일

* 파일을 첨부했습니다.

World_IP_Block.zip

보안관리자로써 경력이 3-4년 된 분들이라면 침입차단시스템과 침입탐지시스템과 같은 기본적인 보안장비 자체에 대한 지식과 운영경험은 아주 뛰어나리라 생각된다. 하지만 그런 중급 보안관리자라 하더라도 쉽게 접근하기 어렵다고 느끼는 분야가 있다면

 "침해사고 분석(Forensic)"이 아닌가 한다. 

본 문서에는 Windows 2000 서버를 대상으로 보안관리자는 물론 일반 IT관리자들도 손쉽게 접근할 수 있는

"침해사고 분석" 절차에 대해서 알아보겠다. 


비정상 네트워크 확인 

1. 비정상 네트워크 연결 확인 

1) 목적 
- 대상 시스템에서 네트워크를 통하여 열려 있는 서비스를 확인하고 불필요한 서비스가 동작 중인지의 여부를 확인한다. 

2) 점검 방법 

① [시작] →[실행] →cmd 입력 후 엔터 
② cmd창에서 netstat 실행 

③ -na 옵션을 통해서 열려있거나 연결된 TCP/UDP 포트 확인 가능 
④ cmd창에서 netstat -na | findstr LISTENING 실행하여 Listen하고 있는 TCP 포트 확인 

⑤ cmd창에서 netstat -na | findstr LISTENING 실행하여 Listen하고 있는 UDP 포트 확인 

2. 비정상 네트워크와 매핑된 프로세스 확인 

1) 목적 
- 공개 툴인 fport를 이용하여 TCP/UDP 포트와 매핑된 프로그램(프로세스)를 확인한다. 

2) 점검 방법 

① [시작] →[실행] →cmd 입력 후 엔터 
② cmd창에서 fport 실행 

③ 다운로드 사이트 
- http://www.foundstone.com/resources/freetools.htm 


3. 비정상 NetBIOS 연결 확인 

1) 목적 
- 대상 시스템에서 네트워크를 통하여 열려 있는 서비스 중에서 비정상적인 NetBIOS 연결을 확인한다. 

2) 점검 방법 

① 시작] a [실행] a cmd 입력 후 엔터 
② cmd창에서 net share 실행 a 공유된 자원 확인 

③ cmd창에서 net view 실행 a 공유된 자원 확인 

④ cmd창에서 net session 실행 a 연결되어 있는 세션 확인 

⑤ cmd창에서 net use 실행 a 연결되어 있는 네트워크 자원 확인 

비정상 프로세스 확인 

1. 비정상 프로세스 확인 

1) 목적 
- 대상 시스템에서 실행중인 프로세스를 점검하여 트로이안목마/백도어 등 관리자가 실행하지 않았거나 인지하고 있지 못하는 의심스러운 프로세스를 점검한다. 

2) 점검 방법 
- Windows 리소스 KIT에서 제공하고 있는 프로세스, 서비스 관련 툴을 사용한다. 

네이트온 메신저   - 5004:5010

                                - 1863

야후 메신저           - 5050

지니 메신저           - 10000:10010

ICQ 메신저            - 5190

버디버디 메신저   - 941

천리안                    - 1421

세이타키 메신저   - 6699

                                - 25

IPsec으로 막는 방법은

1. 이동 : 시작 -> 프로그램 -> 관리도구 -> 로컬보안정책

2. 선택 : 왼쪽 메뉴에서 로컬컴퓨터의 IP 보안정책

3. 선택 : 오른쪽 창에서 마우스 오른쪽 버튼
3. 선택 : IP필터 목록 및 필터 동작 관리

4. 선택 : IP필터 목록 관리에서 추가

5. 입력 및 선택 : 이름에 아무거나, "nateon막기ㅋㅋㅋ" 그리고 추가선택

6. 선택 : 다음 -> 원본주소:내 IP주소 -> 다음 ->

7. 대상주소 
   - 이것이 가장 중요함
     nate.com : 203.226.253.11
     nateon.nate.com : 211.234.239.58 (웹사이트 주소)
     nateon메신져 서버 IP : 211.234.239.172 (현재 제 컴퓨터의 확인결과)
     nateon메신져 서버 접속 포트 : 5004
    
   선택하세요
   1) 네이트 메신져고 웹이고 나발이고 5004 포트 연결은 다 막아 버리겠다.(강력추천!-_-)d)
      대상주소 : 모든 IP주소

   2) 5004포트 이외에 또 연결 될 포트가 있을지 의심이 드는경우
      대상주소 : 특정 IP서브넷 (거의 대부분 서버들은 IP를 줄줄히 나열해서 사용함)
                 대상 IP주소 : 211.234.239.0
                 서브넷마스크 : 255.255.255.0

8.선택 : 다음

9.선택 : 프로토콜 : TCP

10.선택 및 입력: 모든 포트에서 이 포트로 5004 입력

11.선택 : 다음

12.선택 : 마침

이제 IP필터 목록 관리에 nateon막기라는 이름으로 한 개의 규칙이 생성 되어 있는 것을 보실 수 있습니다.
이제 이 규칙에 대한 제어를 해야죠? 위의 구성을 허용할 것인지 거부할 것인지 .. 그걸 만들어 보자구요
탭메뉴가 IP필터 목록 관리와 필터 동작 관리 이렇게 2개가 있습니다.
필터 동작 관리로 가봅시다. 여기서 컨트롤 합니다.
이 메뉴로 가보시면 거부가 없는 것을 볼 수 있습니다.그럼 거부를 만들어 봅시다.
1) 추가
2) 다음
3) 이름 : 무조건 거부( 마음대로 하세요. 설명도...)
4) 거부 선택
5) 마침

우리는 규칙도 만들었고 필터링 규칙도 만들었습니다.
이제 적용을 시키려면 룰을 IP보안 정책에 넣어 줘야 합니다.
자 넣어 봅시다.
두 가지 모두를 마치고 확인을 누르면 처음 로컬 보안정책 화면이 보입니다.
오른쪽 창에서 마우스 오른쪽 버튼을 누르셔서 IP보안정책 만들기를 선택하세요.

1) 이름 : 네이트 접근금지 ㅋㅋㅋ
2) 프로그램 설치하듯 무조건 넥스트 눌러 주세요. 경고창이 뜰 수 있습니다. 아래와 같은 내용으로요..
   경고
   "이 규칙이 도메인의 구성원인 컴퓨터에서 사용하게 될 경우에만 Kerberos가 유효합니다.
    이 컴퓨터는 도메인의 구성원이 아닙니다. 계속하여 규칙 속성을 저장하시겠습니까?"
  그래도 Y누르시고 마침을 누르면, 보안규칙 마법사라는 제목으로 선택 항목이 나옵니다.
  여기서 아까 설정해뒀던(첫번째설정했던) 이름 nateon막기를 선택 다음을 누르면
  허용, 보안요청등...있습니다. 이것도 설정했던(두번째 설정했던) 무조건 거부 선택!
그리고 확인을 누르셔서 빠져 나옵니다. 그리고..닫기~

이제 모든 설정 작업이 끝났습니다..
모든 설정은 끝났으나....적용이 되지 않고 있을 겁니다.ㅜㅜ
적용 한 번 시켜 봅시다.
오른쪽 창을 보면, 네이트 접근금지ㅋㅋ 이와 같은 것이 있습니다.
그 줄의 오른쪽을 보시면 정책 할당은 아니요로 표시 되어 있습니다.
이것이 적용이 되지 않고 있음을 나타냅니다.
네이트 접근금지 ㅋㅋ 줄을 선택하시고 마우스 오른쪽 버튼을 누르시면 할당메뉴가 보입니다.
누르는 순간 적용이 되는 것입니다...
적용하시고 잠시만 기다려 주세요..
열심히 썼지만..전달이 되지 않는 다는 걸 모르고...왜 대답을 안하냐고..독촉하며 네이트온을 
하고 있던 사람들의 네이트온이 연결이 끊겨 있는 것을 확인하실 수 있습니다.
음미하시면 됩니다.ㅋㅋ

[출처] 지식인 | zinclub (http://kin.naver.com/qna/detail.nhn?d1id=1&dirId=10301&docId=68128934&qb=64Sk7J207Yq47JioIO2PrO2KuA==&enc=utf8&section=kin&rank=4&sort=0&spq=0&pid=f2o/yloi5TGssZ5YcIhsss--190416&sid=S2o-MpQ8aksAADQYCMI)