웹쉘 공격자 IP 추적 가이드

웹쉘 침해 사고 발생 시 웹쉘 공격자 IP 추적 시 참고할 수 있는 가이드입니다.

1. 콘솔에서 제공하는 공격자 의심 IP 목록

탐지된 웹쉘 행위와 함께 수집된 의심 IP 목록은 웹쉘 행위가 발생한 시점에 다양한 조건들을 바탕으로 도출해낸 목록입니다.
웹쉘 행위가 발생한 시점에 고객 VM과 통신 여부 등 다양한 조건들을 비교하여 국가 정보와 함께 IP를 제공합니다.

security-17-193

의심 IP 목록 중 공격자 IP가 존재할 가능성이 비교적 높기 때문에 공격자 IP 추적 시 참고할 수 있습니다.
※ 상황에 따라 의심 IP을 수집하지 못할 수 있습니다. 수집 여부와 상관없이 아래 내용을 참고하실 수 있습니다.

2. Access Log 를 통한 웹쉘 공격자 IP 추적

웹쉘 공격자 IP를 추적하는 방법 중 하나로 WAS의 Access Log에서 웹쉘 행위를 찾아내어 추적할 수 있습니다.
Access Log에서 웹쉘 실행을 위해 접근한 IP를 찾아내는데 다음과 같은 조건들을 참고할 수 있습니다.

  • 웹쉘이 탐지된 시점에 접근한 이력들을 공격자로 의심해볼 수 있습니다.
  • 접근한 파일의 확장자가 WAS에서 실행 가능한 확장자이나 의도하지 않은 파일일 경우 웹쉘일 가능성이 존재합니다.
  • 업로드될 수 있는 경로에 존재하는 파일에 접근한 이력이 있다면 웹쉘 실행을 위한 접근으로 의심해볼 수 있습니다.
  • 웹쉘이 실행한 명령어가 URL 쿼리스트링(Query String)에 남아있는 경우 웹쉘 실행을 위한 접근으로 의심해볼 수 있습니다. 예시 : webshell.php?cmd=cat%20/etc/hosts

※ 웹쉘 파일을 찾아내는 방법과 비슷하며 웹쉘 파일을 찾고나서 공격자 IP를 추적하는게 비교적 쉬울 수 있습니다.
웹쉘 파일을 찾아낸 경우 Access Log에서 해당 파일에 접근한 IP를 찾으면 공격자 IP일 가능성이 높습니다.

""에 대한 건이 검색되었습니다.

    ""에 대한 검색 결과가 없습니다.

    처리중...