목차

Excepted List

Excepted List는 고객님이 정의한 예외 규칙에 의해 예외 처리된 웹쉘 행위들을 확인할 수 있는 메뉴입니다.

대체로 Webshell List에서 제공하는 기능과 비슷하나, 예외 처리된 항목에 적용된 예외 규칙을 조회하거나 예외 처리를 취소하는 기능을 제공합니다.

상세 내용 보기

security-17-137

  • 예외 처리된 웹쉘 행위 항목을 클릭하면 “상세정보”를 볼 수 있습니다.
  • “상세정보”에서는 부모 프로세스 정보와 실행 계정 등 추가적인 내용을 확인할 수 있습니다.

메모 작성하기

security-17-138

  • 예외 처리된 웹쉘 행위 항목의 “상세정보”에서 항목에 대해 “메모”를 남길 수 있습니다.

의심 파일 보기

security-17-139

security-17-140

  • 예외 처리된 웹쉘 행위와 관련된 웹쉘 의심 파일 목록을 확인할 수 있습니다.

  • “의심 파일” 항목의 “보기” 버튼을 클릭하거나 항목을 선택 후 “파일 격리/복구” 버튼을 클릭하면 “의심 파일 목록”을 확인할 수 있습니다.

security-17-141

  • 의심 파일 목록에서 파일 항목을 클릭하면 해당 파일의 “상세 정보”를 확인할 수 있습니다.

  • 파일 이름부터 파일 크기, 권한, 소유자 등 자세한 정보를 확인할 수 있습니다.

의심 파일 격리/복구

security-17-142

security-17-143

  • 웹쉘로 의심되는 파일을 서버에 접속하지 않고 콘솔에서 격리 또는 복구할 수 있습니다.
  • 예외 처리된 웹쉘 행위와 의심 파일의 “상세 정보”를 확인하여 웹쉘로 판단될 경우 “파일 격리”를 클릭하여 파일을 격리할 수 있습니다.

security-17-142

  • 정상 파일을 격리할 경우 서비스 장애가 발생할 수 있으니 신중히 진행할 것을 권고드립니다.

security-17-142

  1. 파일 격리 시 격리 동일한 경로에 공격자가 유추하기 어려운 파일 이름으로 격리됩니다.
    예시 : /var/www/html/uploads/webshell.php.webshell.b2152c.20200320012000

  2. 파일을 격리하면 “파일 격리” 버튼은 “파일 복구” 버튼으로 변경됩니다.

security-17-146

  • 격리된 파일을 복구하면 “복구 시간”이 표기되며 해당 페이지에서는 더 이상 해당 파일에 대해 파일 격리 또는 복구를 진행할 수 없습니다.

의심 IP 보기

security-17-147

security-17-148

  • 예외 처리된 웹쉘 행위와 관련된 공격자 의심 IP 목록을 확인할 수 있습니다.

  • “의심 IP” 항목의 “보기” 버튼을 클릭하면 “의심 IP 목록”에서 IP와 국가 정보를 확인할 수 있습니다.

  • 웹쉘 행위 여부를 판단하거나 공격자 IP 차단 등 대응 시 “공격자 의심 IP 목록”을 활용할 수 있습니다.

예외 처리 취소

security-17-149

security-17-150

  1. 예외 처리된 탐지 항목을 취소하기 위해 “예외 취소” 버튼을 클릭하면 해당 항목에 적용된 예외 규칙 정보를 확인할 수 있습니다.
  2. 적용된 모든 예외 규칙을 확인할 수 있으며, “예외 취소” 시 선택한 항목은 webshell list로 이동되며 적용된 모든 예외 규칙은 모두 삭제됩니다.

security-17-151

  • 예외 규칙이 삭제될 경우 선택한 항목을 제외하고 삭제되는 규칙에 의해 예외 처리된 항목들은 webshell list로 재분류되지 않습니다.

적용된 예외 규칙 보기

security-17-152

security-17-153

  • “예외 규칙” 버튼을 통해 예외 처리된 웹쉘 행위 항목에 적용된 모든 예외 규칙을 확인할 수 있습니다.

""에 대한 건이 검색되었습니다.

    ""에 대한 검색 결과가 없습니다.

    처리중...