- 인쇄
- PDF
예외 행위 확인(Excepted List)
- 인쇄
- PDF
VPC 환경에서 이용 가능합니다.
Excepted List 메뉴는 예외 규칙에 의해 예외 처리된 웹쉘 행위들을 확인할 수 있는 메뉴입니다.
이 메뉴에서는 웹쉘 행위가 탐지된 서버 정보, 탐지 시간, 프로세스 정보, 공격자 의심 IP 정보 등 상세 정보와 의심 파일 및 공격자 의심 IP를 확인할 수 있으며, 예외 처리된 항목에 적용된 예외 규칙을 조회하거나 예외 처리를 취소할 수 있습니다.
예외 행위 상세 정보 확인
예외 처리된 웹쉘 행위의 상세 정보를 확인할 수 있습니다.
예외 행위 상세 정보를 확인하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 Services > Security > WebShell Behavior Detector 메뉴를 차례대로 클릭해 주십시오.
- Detection List > Excepted List 메뉴를 차례대로 클릭해 주십시오.
- 목록에서 확인할 예외 행위 항목을 클릭해 주십시오.
- 예외 행위에 대한 상세 정보가 표시됩니다.
예외 행위 목록 화면의 각 항목에 대한 설명은 다음과 같습니다.
영역 | 설명 |
---|---|
① 탐지 시간 | 탐지 시간 기준으로 항목 필터링 |
② 검색 창 | 검색 조건 설정 후 [검색] 버튼을 눌러 항목 검색 |
③ 예외 행위 항목 | 예외 행위 정보 확인 및 관련 기능 버튼 사용 |
④ 상세정보 | 예외 행위 상세 정보 확인 |
의심 파일 보기
예외 처리된 행위와 관련된 웹쉘 의심 파일 목록을 확인해 웹쉘로 판단되는 파일을 격리하거나 격리된 파일을 복구할 수 있습니다.
웹쉘 의심 파일을 확인하는 방법은 다음과 같습니다.
네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 Services > Security > WebShell Behavior Detector 메뉴를 차례대로 클릭해 주십시오.
Detection List > Excepted List 메뉴를 차례대로 클릭해 주십시오.
확인할 항목의 의심 파일 영역에서 [보기] 버튼을 클릭해 주십시오.
목록 팝업 창에서 파일을 클릭해 파일의 상세 정보를 확인해 주십시오.
탐지된 행위가 웹쉘로 판단된다면 격리/복구 옆에 있는 [파일 격리] 버튼을 클릭해 파일을 격리해 주십시오.
- 해당 파일이 동일한 경로에 공격자가 유추하기 어려운 파일 이름으로 격리됩니다.
(예시: /var/www/html/uploads/webshell.php.webshell_20200320012000.BC98D127F4) - 해당 웹쉘 행위 항목은 확인 상태(회색 아이콘 및 텍스트)로 처리되고, 격리된 파일은 의심 파일 목록(Quarantine)에 추가됩니다.
- 파일이 격리되면 [파일 격리] 버튼이 [파일 복구] 버튼으로 변경되어 필요한 경우 파일을 복구할 수 있습니다. 격리된 파일을 복구하면 해당 페이지에서는 더 이상 파일 격리 또는 복구를 진행할 수 없습니다.
- 해당 파일이 동일한 경로에 공격자가 유추하기 어려운 파일 이름으로 격리됩니다.
정상 파일을 격리할 경우 서비스 장애가 발생할 수 있으므로 신중히 판단하여 진행하십시오.
의심 파일 목록에 웹쉘이 존재하지 않을 수 있습니다. 웹쉘 파일 추적에서 웹쉘 파일을 찾을 때 확인하거나 고려해야 하는 조건과 상황을 참고하십시오.
의심 IP 보기
예외 처리된 웹쉘 행위와 관련된 공격자 의심 IP 목록을 확인할 수 있습니다.
의심 IP 목록을 확인하는 방법은 다음과 같습니다.
네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 Services > Security > WebShell Behavior Detector 메뉴를 차례대로 클릭해 주십시오.
Detection List > Excepted List 메뉴를 차례대로 클릭해 주십시오.
확인할 항목의 의심 IP 영역에서 [보기] 버튼을 클릭해 주십시오.
목록 팝업 창에서 의심 IP 정보를 확인해 주십시오.
웹쉘 공격자 IP가 의심 IP 목록에 노출되지 않을 수 있습니다. 웹쉘 공격자 IP 추적에서 웹쉘 공격자 IP를 찾을 때 확인하거나 고려해야 하는 조건과 상황을 참고하십시오.
예외 규칙 확인
예외 처리된 웹쉘 행위 항목에 적용된 모든 예외 규칙을 확인할 수 있습니다.
예외 규칙을 확인하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 Services > Security > WebShell Behavior Detector 메뉴를 차례대로 클릭해 주십시오.
- Detection List > Excepted List 메뉴를 차례대로 클릭해 주십시오.
- 확인할 항목의 예외 규칙 영역에서 [보기] 버튼을 클릭해 주십시오.
- 정보 팝업 창에서 예외 규칙 정보를 확인한 후 [확인] 버튼을 클릭해 주십시오.
예외 처리 취소
웹쉘 행위 항목의 예외 처리를 취소할 수 있습니다.
예외 처리를 취소하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 Services > Security > WebShell Behavior Detector 메뉴를 차례대로 클릭해 주십시오.
- Detection List > Excepted List 메뉴를 차례대로 클릭해 주십시오.
- 예외 처리를 취소할 항목의 예외 취소 영역에서 [취소] 버튼을 클릭해 주십시오.
- 정보 팝업 창에서 예외 규칙 정보를 확인한 후 [예외 취소] 버튼을 클릭해 주십시오.
- 해당 항목에 적용된 모든 예외 규칙을 확인할 수 있습니다.
- 확인 팝업 창에서 [예] 버튼을 클릭해 주십시오.
- 해당 항목은 웹쉘 행위 목록으로 이동하며, 적용된 예외 규칙은 모두 삭제됩니다.
예외 규칙이 삭제될 경우, 선택한 항목을 제외하고는 삭제된 규칙에 의해 예외 처리된 다른 항목들은 웹쉘 행위 목록으로 재분류되지 않습니다.
메모 작성
예외 처리된 웹쉘 행위 항목에 간단한 설명이나 추가 정보 등의 메모를 추가할 수 있습니다.
메모를 작성하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 Services > Security > WebShell Behavior Detector 메뉴를 차례대로 클릭해 주십시오.
- Detection List > Excepted List 메뉴를 차례대로 클릭해 주십시오.
- 메모를 추가할 항목을 클릭한 후 상세 정보 영역에서 메모 옆에 있는 [수정] 버튼을 클릭해 주십시오.
- 메모 내용을 입력한 후 [저장] 버튼을 클릭해 주십시오.