1) 바이러스 감염이 의심되는 현상
①시스템을 부팅할 때 시스템 관련 파일을 찾을 수 없다고 에러메시지가 나오고 윈도우즈가 실행되지 않을 경우
②이유 없이 프로그램 실행속도가 저하되고 시스템이 자주 다운될 경우
③PC 이용중 비정상적인 그림, 메시지, 소리 등이 나타날 경우
④사용자 의사와 관계없이 프로그램이 실행되거나 주변장치가 스스로 움직일 경우
⑤알 수 없는 파일이 생길 경우, 특히 웜은 공유폴더를 이용한다.
메신저 사용 안할때 끄기 포트가 열려 있어 공격 될수있다.
P2P eDonkey2000, 프루나, 사용 안할때 꺼놓는다.
1일에 1번 스파이 악성코드 발견시 제거, 스파이웨어 freeware도 치료 가능하지만
신종악성코드 치료가 불가능하다 안철수 SPYZERO 2.0 추천한다. 정품을 사서 설치해도
아깝지 않다.
인터넷 뱅크 할때 공인증확인서 하드 디스크 안에 저장을 하는데 메우 위험하다
USB 메모리 이동디스크 에서 저장 해서 인터넷뱅크을 하면 도욱 안전하다.
방어벽이 설치 되어 있으면 더욱 안전하다. ZoneAlarm PRO 추천한다.
여기자료실에서 받을수 있다.
A.해커 다른 PC에 대한 공격을 막기 위해 네트워크를 차단한다. 네트워크를 차단하는 방법은 컴퓨터 후면에 네트웍카드(NIC)로 연결된 선을 뽑아주면 된다.
그 다음 V3에서 SCAN 하십시요
A. 패스워드 보안 (꼭 필요한 작업) 초보자 (주의)
모든 계정에 안전한 패스워드 사용
취약한 패스워드는 패스워드 추측 공격에 약하기 때문에 패스워드는 알파벳과 특수문자를 포함한 8자 이상의 복잡한 패스워드를 사용하고, 최소 1일에서 최대 42일의 주기로 패스워드를 변경하는 것이 바람직하다.
A-1. 공유 제한 (꼭 필요한 작업)
불필요한 공유폴더의 제거
불필요한 공유폴더는 인터넷 웜의 침입을 허용할 수 있으며, 자료유출의 통로가 되므로 삭제한다.
B.Windows 최신 패치 설치
Windows 시스템과 Explorer, Outlook, RPC 등의 Windows 응용프로그램에는 버그들이 존재하며, 이러한 버그들은 해킹공격에서 이용될 수 있으므로 최신 패치가 나오면 항상 업데이트하도록 한다.
악성 프로그램은 일반적으로 제작자가 의도적으로 사용자에게 피해를 주고자 만든 프로그램으로써 컴퓨터 바이러스, 웜, 트로이목마등으로 분류한다.
1.바이러스: 자기 복제 능력을 가지며 감염 대상 코드의 실행 구조를 변경하거나 내부 구조를 변경하여 대상 코드의 수행 전후에 바이러스가 실행될 수 있도록 변경하는 코드들의 집합을 가진다. 바이러스의 부작용은 메시지 출력, CMOS 메모리 데이터 삭제로부터 하드디스크 정보 파괴, 플래시메모리 정보 파괴 등으로 피해 규모가 커지고 있다.
2.웜: 실행 코드 자체로 번식하는 유형을 말하며 주로 PC상에서 실행되는 것을 의미한다. 웜과 바이러스의 큰 차이점은 감염 대상을 가지고 있는가에 따라 구분된다. 바이러스는 감염 대상을 가지고 있지만 웜은 감염 대상을 가지지 않는다.
3.트로이목마: 바이러스와 달리 자기 복제 능력이 없으며 악의의 기능을 가지는 코드를 유틸리티 프로그램에 내장하여 배포하거나, 그 자체를 유틸리티 프로그램으로 위장해 배포되며, 특정한 환경이나 조건 혹은 배포자의 의도에 따라서 사용자의 정보 유출이나 자료 파괴와 같은 피해를 준다.
이러한 악성 프로그램은 최근에는 잘 발달된 네트웍을 이용하여, 웜 형태로 공유폴더, E-mail, MSN을 이용하여 전파하고, 다른 파일을 감염시키기도 하며, 시스템의 취약점을 이용하는 해킹기술을 접목하는 방향으로 발전하고 있다. 피해 시스템 자신도 모르는 사이에 또 다른 가해자가 될 수도 있다는 것이다. 이러한 악성 프로그램을 예방하기 위해서는 백신 제품을 설치하고, 올바르게 설정하여
사용하는 것이 무엇보다 중요하다. 다음과 같은 방법으로 백신제품을 설정하고 사용하도록 한다.
4.백신의 주기적인 업데이트
새로운 컴퓨터 바이러스는 계속해서 만들어지고, 유포되고 있다. 이에 대응하여 백신회사는 일주일을 주기로 이러한 새로운 바이러스에 대해서 백신을 업데이트하고 있다. 또한 신속하게 확산되고 있는 바이러스가 신고되면, 긴급업데이트를 실행한다. 따라서 백신 프로그램을 다음과 같이 주기적으로 업데이트 하도록 설정해야 하며, 위험한 바이러스가 출현한 경우, 즉시 업데이트를 실행하는 것이 필요하다.
netstat -na
5.네트워크 스캔 대상 포트
FTP 21
Kerberos 88
Imap 143
Telnet 23
Linuxconf 98
Sendmail 25
NetBIOS 137,139,
DNS 관련 53
RPC 111,635,32771,32772,32773
117
POP 109
(POP2,8), 110
(POP3, 53) 61
백도어/트로이잔 1243(Sub7) 12
12345(NetBus) 34
1524(ingreslock) 6
2222(eggdrop) 11
Sscan 23/110/111/31337/2766/5/7/600/1524/2222 90
기타 1/2/3/4/5/… 16
방화벽을 이용한 P2P 프로그램 차단
P2P 프로그램은 대부분 사용하는 Port가 지정되어 있다. 최근에 나오는 프로그램들은 Port를 변경할 수 있거나, 동적으로 할당되어 쓰이긴 하지만, 기본적으로 사용되는 포트를 차단하는 것만으로도 많은 도움이 될 것이다.
그리고 중앙에서 사용자 인증을 위해 쓰이는 서버 IP를 차단하는 방법으로도 해당 P2P 프로그램의 사용을 막을 수 있다.
다음 표는 각 P2P 프로그램이 사용하고 있는 포트를 정리해 놓은 것이다. 이를 활용하여 방화벽에서 P2P에서 사용되고 있는 포트를 차단할 것을 권고한다.
[참고1] P2P 프로그램이 사용하는 네트워크 포트
| 서비스명 | 프로토콜 | 포트 |
| eDonkey | TCP | 4661 |
| 4662 | ||
| 4642 | ||
| UDP | 4672 | |
| 4665 | ||
| iMash | TCP | 5000 |
| BitTorrent | TCP | 6881 |
| 6889 | ||
| 소리바다 V.2 | UDP | 22321 |
| 7674 | ||
| 7675 | ||
| WINMX | TCP | 6699 |
| UDP | 6257 | |
| Direct-Connect | TCP | 411-412 |
| UDP | 411-412 | |
| KaZaA | TCP | 1214 |
| Guntella-Morpheus | TCP | 6346-6347 |
| UDP | 6346-6347 | |
| GuRuGuRu | TCP | 9292 |
| 8282 | ||
| 31200 | ||
| 파일 구리 | TCP | 9493 |
| Madster-Aimster | TCP | 23172 |
| 9922 | ||
| HotLine | TCP | 5497 |
| 5498 | ||
| 5500-5503 | ||
| UDP | 5499 | |
| V-Share | TCP | 8404 |
| Maniac | TCP | 2000 |
| UDP | 2010 | |
| TCP | 2222 | |
| MiRC | TCP | 6667 |
| 6665-6670 | ||
| 7000 | ||
| Shareshare | TCP | 6399 |
| UDP | 6777 | |
| Bluster | UDP | 41170 |
| GoToMyPc | TCP | 8200 |
| Napster | TCP | 6600-6699 |
| 4444 | ||
| 5555 | ||
| 6666 | ||
| 7777 | ||
| 8888 | ||
| 8875 |
[참고2] 메신저 프로그램 사용 포트
| 서비스명 | 서버 | 포트 | 설명 |
| MSN | 64.4.130.0/24 207.46.104.0/24 207.46.106.0/24 207.46.107.0/24 207.46.108.0/24 207.46.110.0/24 | TCP 1863 ,80 | 1863접속 시도 후 차단 되면 80 접속 시도 |
| TCP 6891-6900 | 파일 전송 | ||
| UDP 6901 | 음성채팅 | ||
| UDP1863,5190 | Microsoft Network Messenger | ||
| Yahoo | 216.136.233.152/32 216.136.233.153/32 216.136.175.144/32 216.136.224.143/32 66.163.173.203/32 216.136.233.133/32 216.136.233.148/32 66.163.173.201/32 216.136.224.213/32 | TCP 5050,5101 | 5050 접속 시도 후 차단 되어 있으면 Port 계속 변경 |
| TCP 5000-5001 | 음성채팅 | ||
| TCP 5100 | 화상채팅 | ||
| Nate On | 203.226.253.75/32 203.226.253.135/32 203.226.253.82/32 | TCP 5004-5010 | 기본 포트 5004-5010 접속 시도후 차단되어 있으면 Port를 계속 변경 |
| TCP80,83,7003 | 웹 컨텐츠 및 문자 보내기 | ||
| Daum | 211.233.29.78/32 | TCP 8062 | |
| SayClub | 211.233.47.20/32 | ||
| AOL | TCP 5190 | AOL Instant Messenger Also used by: ICQ | |
| UDP 4000 | ICQ_locator | ||
| Dreamwize | 211.39.128.236/32 211.39.128.184/32 | TCP 10000 | |
| 버디버디 | TCP 810 | ||
| TCP 940 | |||
| TCP 950 | |||
| 케이친구 | TCP 7979 | ||
| 천리안 | TCP 1420 | ||
| TCP4949, 8989 | 파일 송수신 | ||
| ICQ | TCP 5190 | ||
| UIN | TCP 8080 | ||
| Genile | TCP 10000 | |
'Security' 카테고리의 다른 글
| 스푸핑 (0) | 2017.01.08 |
|---|---|
| icmp flood 서버단에서 예방하기 (0) | 2017.01.08 |
| 암호학 (0) | 2017.01.08 |
| 사용자 인증 (0) | 2017.01.08 |
| FTP Active/Passive 정리 (0) | 2017.01.06 |