エージェントのインストールと実行ガイド

エージェントのインストール/削除/実行/終了方法について参考にできるガイドです。

目次

エージェントのインストール

Step 1. 検知対象サーバにアクセス

Step 2. エージェントのインストール

# wget http://wbd.ncloud.com:18088/agent/wbd_installer.sh -O wbd_installer.sh
# chmod a+x wbd_installer.sh
# ./wbd_installer.sh

以下のようなフレーズが表示されると、エージェントのインストールに成功したことが確認できます。 security-17-184

Step 3. エージェントが正常に実行されたか確認

以下のようなコマンドを通じて、エージェントのインストールに成功し、実行中であることを確認できます。

# ps -ef | grep wbd

security-17-185

また、コンソールの「Webshell Behavior Detector > Detection Setting > Configuration」で エージェントの状態が「有効化」になっている場合、エージェントのインストールに成功し、実行中であることを確認できます。

security-17-186

インストールの過程または実行結果が上記と異なる場合、インストールスクリプト(“wbd_installer.sh”)の実行を再試行することをお勧めします。

インストールの過程でエラーが発生した場合、エラーコード別対応ガイドを参考にしてください。

Step 4. ウェブシェル行為を上手く検知しているか確認

Webshell Behavior Detectorエージェントが正常にインストールされ、実行されていることを確認したら、 偽のウェブシェルファイルでウェブシェル行為を上手く検知しているか確認することをお勧めします。

偽のウェブシェルファイルを用いたテスト時の注意事項

  1. 引数を受け取らない形式で作成してください。 ex) webshell.php?cmd=cat /etc/hosts
  2. 類推できないパスとファイル名で作成してください。 ex) webshelltestfile_202001011230.php
  3. テスト後、必ず削除してください。

以下は偽のウェブシェルファイルの例です。 偽のウェブシェル作成時の参考用としてのみ活用してください。

  • PHP

    <?php
    system("ls -al /tmp/thereisnodir");
    ?>
    
  • JSP

    <%@ page import="java.io.*"%>
      <% Process child = Runtime.getRuntime().exec("ls -al /tmp/thereisnodir");
    
      InputStream in = child.getInputStream();
      int c;
      while ((c = in.read()) != -1) {
      out.print((char)c);
      }
      %>
    

このような偽のウェブシェルファイルをウェブルートパスに類推しにくいファイル名で保存した後、アクセスを試みます。 コンソールでウェブシェル行為が検知されたら、インストールと実行に成功したことが確認できます。

security-17-187

※ サーバの状態によってcmdlineは正常に収集されないことがあります。

エージェントの削除

エージェントの削除はインストールスクリプトで行うことができ、“uninstall”を引数として入力すると削除できます。

# wget http://wbd.ncloud.com:18088/agent/wbd_installer.sh -O wbd_installer.sh 
# chmod a+x wbd_installer.sh
#./wbd_installer.sh uninstall

以下のようなメッセージが表示されると、エージェントの削除に成功したことが確認できます。
security-17-188

以下のようなコマンドを通じて、エージェントの削除と終了に成功したことを確認できます。

ps -ef | grep wbd

security-17-189

削除後は、コンソールでエージェントの状態が「未インストール」に変更されます。 security-17-190

エージェントの実行または終了

ウェブシェル検知機能が作動するかどうかは、エージェントのプロセス状態ではなくエージェントの有効化/無効化によって決まります。

ウェブシェル検知機能を利用する際は、エージェントプロセスを実行してからコンソールでエージェントの有効化を行います。 エージェントが有効化すると、ウェブシェル検知機能が有効化して課金が始まります。

ウェブシェルサービスをこれ以上利用しない場合、エージェントを無効化してもプロセスは依然として実行されているため、後にコンソールを通じて有効化するとすぐに利用できます。

当分の間使用する計画がない場合は、プロセスを終了しても構いません。 後に利用する際は、先にエージェントを実行する必要があります。

エージェントプロセスの実行方法

# /opt/nbp/wbd/wbd_agent

エージェントプロセスの終了方法

# /opt/nbp/wbd/wbd_agent -s stop

に対する検索結果は~件です。 ""

    に対する検索結果がありません。 ""

    処理中...