목차

Webshell List

Webshell List는 에이전트가 고객 서버에서 탐지한 웹쉘 행위들을 확인하고 관리할 수 있는 메뉴입니다.

웹쉘 행위 여부를 판단하고 대응하는데 참고할 수 있는 웹쉘 행위가 탐지된 서버 정보, 탐지 시간, 프로세스 정보, 공격자 의심 IP 정보 등을 확인할 수 있습니다.

또한, 탐지된 웹쉘 행위를 발생시킨 웹쉘 의심 파일 목록과 함께 격리/복구할 수 있는 기능과 탐지된 웹쉘 행위를 바탕으로 간편하게 예외 처리할 수 있는 기능을 제공합니다.

상세 내용 보기

security-17-122

  • 탐지된 웹쉘 행위 항목을 클릭하면 “상세정보”를 볼 수 있습니다.

  • “상세정보”에서는 부모 프로세스 정보와 실행 계정 등 추가적인 내용을 확인할 수 있습니다.

확인/미확인

security-17-123

  1. 새롭게 탐지된 웹쉘 행위 항목은 고객님이 쉽게 확인할 수 있도록 font color가 red로 적용되어 표기됩니다.
  2. “의심 파일”을 격리 처리하거나 “확인” 항목에 check할 경우 고객님이 확인했다는 의미로 font color에서 red가 해제됩니다.
  3. “확인” 항목의 check를 해제할 경우, font color가 red로 다시 적용됩니다. 필요에 맞게 활용하실 수 있습니다.

메모 작성하기

security-17-124

  • 웹쉘 행위 탐지 항목의 “상세정보”에서 항목에 대해 “메모”를 남길 수 있습니다.

의심 파일 보기

security-17-125

security-17-126

  • 탐지된 웹쉘 행위와 관련된 웹쉘 의심 파일 목록을 확인할 수 있습니다.
  • “의심 파일” 항목의 “보기” 버튼을 클릭하거나 항목을 선택 후 “파일 격리/복구” 버튼을 클릭하면 “의심 파일 목록”을 확인할 수 있습니다.

security-17-127

  • 의심 파일 목록에서 파일 항목을 클릭하면 해당 파일의 “상세 정보”를 확인할 수 있습니다.
  • 파일 이름부터 파일 크기, 권한, 소유자 등 자세한 정보를 확인할 수 있습니다.

의심 파일 격리/복구

security-17-128

  • 웹쉘로 의심되는 파일을 서버에 접속하지 않고 콘솔에서 격리 또는 복구할 수 있습니다.

security-17-129

  • 탐지된 웹쉘 행위와 의심 파일의 “상세 정보”를 확인하여 웹쉘로 판단될 경우 “파일 격리”를 클릭하여 파일을 격리할 수 있습니다.
  • 정상 파일을 격리할 경우 서비스 장애가 발생할 수 있으니 신중히 진행할 것을 권고드립니다.

security-17-130

  1. 파일 격리 시 격리 동일한 경로에 공격자가 유추하기 어려운 파일 이름으로 격리됩니다.
    예시 : /var/www/html/uploads/webshell.php.webshell_20200320012000.BC98D127F4
  2. 파일을 격리하면 “파일 격리” 버튼은 “파일 복구” 버튼으로 변경됩니다.
  3. 격리된 파일을 복구하면 “복구 시간”이 표기되며 해당 페이지에서는 더 이상 해당 파일에 대해 파일 격리 또는 복구를 진행할 수 없습니다.

의심 IP 보기

security-17-131

security-17-132

  • 탐지된 웹쉘 행위와 관련된 공격자 의심 IP 목록을 확인할 수 있습니다.
  • “의심 IP” 항목의 “보기” 버튼을 클릭하면 “의심 IP 목록”에서 IP와 국가 정보를 확인할 수 있습니다.

  • 웹쉘 행위 여부를 판단하거나 공격자 IP 차단 등 대응 시 “공격자 의심 IP 목록”을 활용할 수 있습니다.

탐지 내역 삭제

security-17-133 security-17-134

  • 탐지된 웹쉘 행위를 선택 후 “탐지 내역 삭제” 버튼을 클릭하여 삭제할 수 있습니다.

예외 처리

security-17-135

  • 탐지된 웹쉘 행위를 선택 후 “예외 처리” 버튼을 클릭합니다.

security-17-136

  • 선택한 웹쉘 행위의 정보를 바탕으로 간편하게 예외 처리 규칙을 설정할 수 있는 팝업을 이용할 수 있습니다.

  • 해당 기능은 탐지된 웹쉘 행위를 바탕으로 간편하면서도 정확한 규칙을 추가할 수 있도록 설정할 수 있는 조건을 제한시킨 기능입니다.

  • 예외 대상은 에이전트가 설치된 서버를 단일 선택할 수 있으며, 서버 그룹이나 모든 서버를 대상으로도 지정이 가능합니다.

  • 예외 규칙의 조건들을 모두 충족하는 웹쉘 행위만(AND 조건) 예외 처리됩니다.
    예외 규칙 생성 시 선택할 수 있는 조건은 다음과 같이 구성되어 있습니다.

    == : 정확히 일치하는 경우
    START : 입력한 문자열로 시작하는 경우
    END : 입력한 문자열로 끝나는 경우
    NOT USE : 해당 조건을 사용하지 않을 경우

    ※ NOT USE 사용 시 예외 규칙 처리되는 대상 범위가 넓어집니다. 해당 조건은 신중히 사용하실 것을 권고드립니다.

  • 세세한 예외 처리 규칙 설정은 Excepted List 메뉴에서 이용할 수 있습니다.

""에 대한 건이 검색되었습니다.

    ""에 대한 검색 결과가 없습니다.

    처리중...