目次
Excepted List
Excepted Listは、お客様が定義した例外ルールによって例外処理されたウェブシェル行為を確認できるメニューです。
Webshell Listで提供する機能と似ていますが、例外処理された項目に適用された例外ルールを照会したり、例外処理をキャンセルする機能を提供します。
詳細内容を見る
- 例外処理されたウェブシェル行為の項目をクリックすると、「詳細情報」が表示されます。
- 「詳細情報」では、親プロセスの情報と実行アカウントなど追加的な内容を確認できます。
メモを作成する
- 例外処理されたウェブシェル行為の項目の「詳細情報」で、項目に対し「メモ」を残すことができます。
疑わしいファイルを見る
例外処理されたウェブシェル行為に関連したウェブシェルと疑われるファイルリストを確認できます。
「疑わしいファイル」項目の「見る」ボタンをクリックするか、項目を選択した後「ファイル隔離/復旧」ボタンをクリックすると、「疑わしいファイルリスト」を確認できます。
疑わしいファイルリストでファイル項目をクリックすると、当該ファイルの「詳細情報」を確認できます。
ファイル名からファイルサイズ、権限、所有者などまで詳しい情報を確認できます。
疑わしいファイルの隔離復旧
- ウェブシェルと疑われるファイルを、サーバにアクセスせずにコンソールで隔離または復旧できます。
- 例外処理されたウェブシェル行為と疑わしいファイルの「詳細情報」を確認してウェブシェルと判断した場合、「ファイル隔離」をクリックしてファイルを隔離できます。
- 正常なファイルを隔離するとサービス障害が発生する可能性があるため、慎重に行ってください。
ファイル隔離の際は、隔離されたものと同じパスで攻撃者が類推しにくいファイル名で隔離されます。
例:/var/www/html/uploads/webshell.php.webshell.b2152c.20200320012000ファイルを隔離すると「ファイル隔離」ボタンは「ファイル復旧」ボタンに変わります。
- 隔離されたファイルを復旧すると「復旧時間」が表記され、当該ページではそれ以上、当該ファイルに対してファイルの隔離または復旧は行えません。
疑わしいIPを見る
例外処理されたウェブシェル行為に関連した攻撃者と疑われるIPリストを確認できます。
「疑わしいIP」項目の「見る」ボタンをクリックすると、「疑わしいIPリスト」でIPと国情報を確認できます。
- ウェブシェル行為かどうかを判断したり、攻撃者のIP遮断などの対応をする際、「攻撃者と疑われるIPリスト」を活用できます。
例外処理のキャンセル
- 例外処理された検知項目をキャンセルするために「例外キャンセル」ボタンをクリックすると、当該項目に適用された例外ルール情報を確認できます。
- 適用されたすべての例外ルールを確認でき、「例外キャンセル」を行うと選択した項目はwebshell listに移動し、適用されたすべての例外ルールは削除されます。
- 例外ルールが削除される場合、選択した項目を除いて、削除されるルールによって例外処理された項目はwebshell listに再分類されません。
適用された例外ルールを見る
- 「例外ルール」ボタンを通じて、例外処理されたウェブシェル行為に適用されたすべての例外ルールを確認できます。
