백냥의 이야기

시작 - 실행 - cmd

C:\>set devmgr_show_nonpresent_devices=1

C:\>start devmgmt.msc

장치관리자가 나타나면  '보기(V)' - '숨은 장치 표시(W)'

비활성화 되어있는 장비 제거

이런문의가 들어왔다.

회사내에서 IP를 할당받으면,  10.1.2.x 대역을 dhcp 서버에서 할당받아서 사용하여야 한다.
근데, 일부컴퓨터들이 192.168.x.x 대역을 할당받는다는 것이다.

@.@

192.168.x.x  보나마나 IP공유기가 범인인듯 했다.
마침 회사내 IP가 아닌 IP를 발견했다.
확인해 보니 아래와 같은 정보가 나타난다.

Windows IP Configuration

        Host Name . . . . . . . . . . . . : 노트북1
        Primary Dns Suffix  . . . . . . . :
        Node Type . . . . . . . . . . . . : Hybrid
        IP Routing Enabled. . . . . . . . : No
        WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter 로컬 영역 연결 2:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : Marvell Yukon 88E8036 PCI-E Fast Ethernet Controller
        Physical Address. . . . . . . . . : 00-E0-91-xx.xx.xx
        Dhcp Enabled. . . . . . . . . . . : Yes
        Autoconfiguration Enabled . . . . : Yes
        IP Address. . . . . . . . . . . . : 192.168.2.42
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 192.168.2.1
        DHCP Server . . . . . . . . . . . : 192.168.2.1
        DNS Servers . . . . . . . . . . . : 192.168.2.1
        Lease Obtained. . . . . . . . . . : 2007년 12월 13일 목요일 오전 9:42:32
        Lease Expires . . . . . . . . . . : 2007년 12월 16일 일요일 오전 9:42:32

이제, 저런 IP를 주는 장비를 찾아야 한다.
어떻게?
arp 로 찾으면 된다. 흐흐

Interface: 192.168.2.42 --- 0x2
  Internet Address      Physical Address      Type
  192.168.2.1           00-02-e3-72-04-b1     dynamic 

컴퓨터가 받은 gateway 장비의 mac address 를 찾았다.
이제, 선번장과 switch 를 이용해 해당 mac address 를 찾아야 한다.

switch>show mac-address 0002.e372.04b1

찾아보니 특정 switch 의 fastethernat 0/1 에 있는 컴퓨터이다.
확인해보니 추측했던바와 같이 공유기를 사용하고 있었다.
이런이런....

헤야할일을 정리하면...
  (1) IP를 이상하게 받는 컴퓨터로 이동한다.
  (2) ipconfig /all 을 하여 mac address (physical address)을 확인한다.
  (3) arp -a 를 하여 gateway 의 mac address 를 확인한다.
  (4) 스위치장비에 접근하여 gateway의 mac address 를 추적한다.
  (5) 선번장이 조사되어있으면 그것을 이용하여 실제 컴퓨터의 위치를 파악한다.
  (6) 그리고 뒷처리...

이상. ~ *^^*

11.09 에 보냈다는 글을 보았는데
11.10 에 도착했습니다.

그래서 기념으로 사진 몇컷 찍어보았습니다.

우체국 택배로 온 것입니다.

포장지를 개봉하지 주문한 티셔츠 2벌이 들어있었습니다.  주문한거니 당연하겠지만요..^^*

티셔츠 2벌과 기념품입니다.



티셔츠 앞면모습입니다.


티셔츠 뒷면 모습입니다.


L 치수를 주문했는데 소매 길이가 좀 작은 듯하네요.  105 를 주문할껄 했습니다. ^^*
옷을 크게 입는 편이어서 그런지 좀 어색한거 같기도 하고요.
여튼 잘 입고 다니렵니다.  *^^*

아파치의 웹로그는 파일하나에 모두 저장하는 특성(?)을 가지고 있다.
그래서, 웹로그를 검색하려면 엄청난 고생을 해야할지 모른다.
그래서 cronolog 라는 프로그램을 이용하여 로그를 하루단위로 짜릴 수 있다.
이름에도 알 수 있듯이 cronlog, cron+log 의 합성어로 보이며, cron은 잘 알듯이 unix/linux작업스케줄러이다.

ftp 를 이용하여 웹서버의 특정 경로에 복사를 한다.

ftp xxx.xxx.xxx.xxx
telnet 접속하여 ftp 를 통해 올려진 경로로 이동, 보통 /temp에 복사한다.

tar 로 압축되어있으므로 압축을 해제한다.

tar xvf cronolog-1.6.2.tar

cronolog-1.6.2 라는 경로가 생성되면서 tar 가 해제된다.
생성된 cronolog-1.6.2 경로로 이동한다.

configure를 수정하여 설치할 경로를 지정한다.

vi ./configure

다음의 행을 찾아 설치할 경로로 지정하고 수정한다.
예는 /Product/cronolog 경로에 설치를 하도록 유도하고 있다.

prefix=/Product/cronolog

수정이 완료되었으면 실행 및 컴파일을 한다.

./configure
make
make install

/Product/cronolog 경로에 보면 설치가 완료되었음을 확인 할 수 있다.

이제 apache에 적용해보자
설정하고자 하는 httpd.conf 파일에 아래와 같이 추가한다.

CustomLog "|/Product/cronolog/sbin/cronolog /apache/log/%Y%m%d_access.log" combined env=!nolog

모든 설정이 완료되었으며, apache를 재구동하면 /apache/log 경로에 날짜별로 로그가 저장되는것을 확인할 수 있다.

홈페이지: http://cronolog.org/

mrtg log가 아래와 같은 형식으로 쌓인다면,
첫번째는 timestamp 이다.
하지만 이 timestamp는 1970년 1월1일 부터의 시간을 초로 환산된것으로
쉽게 시간을 알 수는 없다.

1065916800 75923474 75923474 76505088 76505088

다음의 2가지 방법으로 현재시간을 구할 수 있다.

    1. perl 을 이용한 방법
        예: perl -e 'print scalar localtime(timestamp),"\n"'
        명령어: perl -e 'print scalar localtime(1065916800),"\n"'
        결과: Sun Oct 12 09:00:00 2003

    2. 엑셀(excel)을 이용한 방법
        엑셀을 실행시킨 후
       A1 셀은 mrtg log 의 timestamp 를 기록하고
       B1 셀은 셀의 속성을 날짜타입으로 변경하고, 다음과 같이 입력한다.
              =((A1+32400)/86400)+DATE(1970,1,1)
       

MSN으로 전파되는 놈이 또 발견되었다.
파일은 다음과 같다.

MSN으로 전파되는 메시지

재부팅하니까 증상이 사라진다 ㅡ.,ㅡ^
작업관리자에 다음과 같은 프로세스가 떠있다.

해당파일을 압축풀어 실행한사람들은

해당파일을 삭제하려 했더니 삭제되지 않아 확인해보니
해당파일이 프로세스에 떠있어서 삭제가 되지 않았다.

프로세스 끝내기를 통해 프로세스를 죽이고, 재부팅하여서 해결된듯보인다.
고로, 악성같지는 않고, 프로세스에 떠있을동안만 동작하는듯하다.

이미지와 같은 오류가 발생한다는 접수를 받고 확인한 내용이다.

그래서 이것저것 확인해보니 아래와 같은게 처박혀 있었다.


관련 파일이 존재하더라.
다음의 경로에

C:\Documents and Settings\All Users\Favorites

파일이 공통적으로 존재

hfmxd.exe

그와 더불어 파일이 존재하긴 했는데 그건 랜덤으로 생성되는것 같은데..
여튼 해당 경로에 존재하는 *.exe 파일의 이름을 변경처리하였더니 정상적으로 되더라.

C:\Documents and Settings\All Users\Favorites\dir *.exe

해당경로에서

ren *.exe *.exe.ren

...ㅠ.ㅠ

CISCO WS-C3550 에서 packet dump 하는 방법

CISCO>terminal monitor
CISCO>debug ip packet detail
패킷내용 출력....
출력...
...
...
CISCO>undeug all

주의1) 엄청난 패킷이 왔다 갔다 하는 경우 장비가 죽을 수 있음
주의2) undeug all 할 동안 지속적으로 나옴/분석 완료 후 반드시 명령어 줘야 함.

금일부터 바탕화면의 인터넷익스플로를 실행하면
반응이 없다는 접수가 늘어나고 있어 확인해보니...

이런것이 BHO에 들어가 있더라...



이렇게 iexplorer.exe 에 들어가 있고,

요렇게 vmreg32.exe 파일도 실행하더라고...

그래서, 이렇게 조치했다.

1. 시작-실행-cmd
2. cd windows
3. c:\windows>ren upcontrol.dll upcontrol.dll.ren
4. c:\windows>ren vmreg32.exe vmreg32.exe.ren

해서 인터넷익스플로 실행하니 정상적으로 되더라.
줴길...