- 인쇄
- PDF
WebShell Behavior Detector 문제 해결
- 인쇄
- PDF
VPC 환경에서 이용 가능합니다.
WebShell Behavior Detector 이용 중 오류 코드가 표시되면 다음 내용을 참고하여 대응해 주십시오. 문제가 해결되지 않을 경우 네이버 클라우드 플랫폼 포털의 고객 문의 기능을 이용해 문의해 주십시오.
오류 코드별 대응 방법
각 오류 코드에 대한 설명과 문제 해결 방법은 다음과 같습니다.
[5002] 입력하신 경로를 찾을 수 없습니다.
원인: 탐지 대상 등록 시 웹루트 또는 업로드 경로를 존재하지 않는 경로를 지정했거나 접근할 수 없습니다.
해결 방법: 경로를 확인한 후 다시 설정해 주십시오.[5005] Pod의 웹 서버 환경/경로 설정을 찾을 수 없습니다.
원인: 웹 루트/업로드 경로를 등록하지 않았거나 잘못된 경로를 입력했거나 접근할 수 없는 경로를 지정한 경우 탐지할 수 없습니다.
해결 방법: 웹 루트/업로드 경로를 설정해 주십시오.[5101] 파일 격리 또는 복구를 실패하였습니다. 격리 또는 복구할 대상 파일이 존재하지 않습니다.
원인: 파일 격리 또는 복구 시 대상 파일이 존재하지 않습니다. 또는 다른 항목에서 격리 또는 복구를 진행했거나 서버에서 직접 수정하는 등 다양한 원인이 있을 수 있습니다.
해결 방법: 서버에 접속하여 격리 또는 복구 대상 파일을 확인하는 등 상황을 파악하고 대응해 주십시오.[5102] 파일 격리 또는 복구를 실패하였습니다. 격리 또는 복구할 파일 이름이 이미 존재합니다.
원인: 파일 격리 또는 복구 시 변경될 이름이 이미 사용되고 있습니다. 또는 다른 관리자가 서버에 접근하여 파일을 복구하는 등 다양한 원인이 있을 수 있습니다.
해결 방법: 서버에 접속하여 격리 또는 복구 시 변경될 이름을 가진 파일이 있는지 확인하는 등 상황을 파악하고 대응해 주십시오.[5103] 파일 복구를 실패하였습니다. 서버에서 확인할 것을 권고드립니다.
원인: 파일 복구 시 원본 파일로 이름을 변경하는 과정에서 오류가 발생하였습니다.
해결 방법: 서버에 접속하여 격리된 파일 이름과 복구 시 변경될 이름을 가진 파일이 있는지 확인하는 등 상황을 파악하고 대응해 주십시오.[5104] 파일 격리를 실패하였습니다. 서버에서 확인할 것을 권고드립니다.
원인: 파일 격리 시 격리할 파일 이름으로 변경하는 과정에서 오류가 발생하였습니다.
해결 방법: 서버에 접속하여 원본 파일에 대해 확인하는 등 상황을 파악하고 대응해 주십시오.[5401] WAS 프로세스를 찾을 수 없습니다. WAS 실행 상태를 확인해주세요. 에이전트 사용을 원하지 않을 경우 비활성화 해주세요.
원인: 에이전트가 WAS 프로세스를 찾을 수 없습니다.
해결 방법:- 에이전트 활성화 시 발생한 경우, 서버에서 WAS를 실행한 후 에이전트를 다시 활성화해 주십시오. WAS가 실행되고 있음에도 WAS 프로세스를 찾지 못한다면, 지원하지 않는 WAS일 수 있으므로 서비스 지원 환경을 확인한 후 이용해 주십시오.
- 에이전트가 정상적으로 실행되고 있던 중 WAS 프로세스가 종료된 경우에도 해당 오류가 발생할 수 있습니다. 이 경우 고객의 의도(업데이트 등)에 의해 일시적으로 WAS가 종료된 경우일 수 있기 때문에 웹쉘 공격 위험에 노출되지 않도록 에이전트는 활성화 상태로 유지됩니다. WAS를 다시 실행하거나, 원하지 않는 경우 에이전트를 비활성화로 변경해 주십시오.
- WAS를 실행해도 오류가 해결되지 않으면 에이전트를 비활성화한 후 다시 활성화해 주십시오.
- 에이전트 비활성화/활성화로도 해결되지 않는다면 다음과 같이 서버에서 에이전트를 재시작해 주십시오.
[ Linux용 Agent ] # /opt/nbp/wbd/wbd_agent -s stop # /opt/nbp/wbd/wbd_agent -s start or # /opt/nbp/wbd/wbd_agent -s reload [ Kubernetes용 Agent ] # kubectl delete -f https://wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml # kubectl apply -f https://wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml [ Windows용 Agent ] > %LOCALAPPDATA%/WBDAgent/AgentService.exe exit > %LOCALAPPDATA%/WBDAgent/AgentService.exe
[5402] WAS 프로세스를 찾을 수 없습니다. WAS 실행 상태를 확인해주세요. 에이전트 사용을 원하지 않을 경우 비활성화 해주세요.
원인: 탐지 대상 서버에서 허용된 WAS 프로세스 개수를 초과하였습니다.
해결 방법:- 에이전트 활성화 시 발생한 경우, WAS 개수를 조정한 후 에이전트를 다시 활성화해 주십시오.
- 에이전트가 정상적으로 실행되고 있던 중 WAS 프로세스가 허용된 개수를 초과한 경우에도 해당 오류가 발생할 수 있습니다. 이 경우 일시적으로 WAS 프로세스가 허용된 개수를 초과한 경우일 수 있기 때문에 웹쉘 공격 위험에 노출되지 않도록 에이전트는 활성화 상태로 유지됩니다. 다만, 일부 기능이 정상적으로 작동하지 않을 수 있습니다.
- WAS 개수를 허용된 개수로 조정해도 오류가 해결되지 않으면 에이전트를 비활성화한 후 다시 활성화해 주십시오.
- 에이전트 비활성화/활성화로도 해결되지 않는다면 다음과 같이 서버에서 에이전트를 재시작해 주십시오.
[ Linux용 Agent ] # /opt/nbp/wbd/wbd_agent -s stop # /opt/nbp/wbd/wbd_agent -s start or # /opt/nbp/wbd/wbd_agent -s reload [ Kubernetes용 Agent ] # kubectl delete -f https://beta-wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml # kubectl apply -f https://beta-wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml [ Windows용 Agent ] > %LOCALAPPDATA%/WBDAgent/AgentService.exe exit > %LOCALAPPDATA%/WBDAgent/AgentService.exe
탐지 대상 서버 등록 시 PHP를 설정한 경우에는 하나의 apache 또는 nginx만 허용됩니다. JSP를 설정한 경우, 하나의 tomcat만 허용됩니다.
예시: nginx 환경에서 다음과 같은 경우 하나의 WAS로 인식합니다.
nginx: master process
nginx: worker process
nginx: worker process
nginx: worker process
[5403] WAS 프로세스의 Access Log 파일에 접근할 수 없습니다. 일부 정보 수집이 누락될 수 있습니다. Access Log 파일을 확인해 주세요.
원인: JSP 환경에서 에이전트가 WAS의 Access Log 파일에 접근할 수 없습니다.
해결 방법:- 에이전트 활성화 시 발생한 경우, Access Log 파일에 접근 가능 여부를 확인한 후 에이전트를 다시 활성화해 주십시오.
- 에이전트가 정상적으로 실행되고 있던 중 Access Log에 접근되지 않는 경우에도 해당 오류가 발생할 수 있습니다. 이 경우 일시적으로 WAS 프로세스가 허용된 개수를 초과한 경우일 수 있기 때문에 웹쉘 공격 위험에 노출되지 않도록 에이전트는 활성화 상태로 유지됩니다. 다만, 해당 오류가 유지되면 일부 기능이 정상적으로 작동하지 않을 수 있으므로 오류를 해결하는 것을 권장합니다.
- Access Log에 접근할 수 있게 조치해도 오류가 해결되지 않으면 에이전트를 비활성화한 후 다시 활성화해 주십시오.
- 에이전트 비활성화/활성화로도 해결되지 않는다면 다음과 같이 서버에서 에이전트를 재시작해 주십시오.
[ Linux용 Agent ] # /opt/nbp/wbd/wbd_agent -s stop # /opt/nbp/wbd/wbd_agent -s start or # /opt/nbp/wbd/wbd_agent -s reload [ Kubernetes용 Agent ] # kubectl delete -f https://wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml # kubectl apply -f https://wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml [ Windows용 Agent ] > %LOCALAPPDATA%/WBDAgent/AgentService.exe exit > %LOCALAPPDATA%/WBDAgent/AgentService.exe
[5404] Inotify limit을 초과하였습니다. 사용자 가이드를 참고해 주세요.
원인: inotify limit 값 사용이 제한되었습니다.
해결 방법: 서버 환경에 따라 웹쉘 상품 내에서 사용하는 inotify limit 값이 제한될 수 있습니다. 다음과 같은 방법으로 inotify limit 값을 조절해 주십시오.- 현재 서버에 설정된 inotify limit 값 확인
$ cat /proc/sys/fs/inotify/max_user_watches
- 일시적으로 inotify limit 값 변경(예시)
$ sudo sysctl fs.inotify.max_user_watches=8192(원하는 값) $ sudo sysctl -p
- 영구적으로 inotify limit 값 변경(예시)
/etc/sysctl.conf 파일에 fs.inotify.max_user_watches=100000(원하는 값)을 추가한 후 sudo sysctl-p를 실행해 주십시오.
$ echo fs.inotify.max_user_watches=100000 | sudo tee -a /etc/sysctl.conf $ sudo sysctl -p
inotify limit 값은 서버 환경에 따라 적절한 값으로 설정해 주십시오. inotify limit 값을 변경한 후에는 다음과 같이 서버에서 에이전트를 재시작해 주십시오.
# /opt/nbp/wbd/wbd_agent -s stop # /opt/nbp/wbd/wbd_agent -s start or # /opt/nbp/wbd/wbd_agent -s reload
[5405] 다음 경로에 접근할 수 없습니다. 일부 기능이 제대로 동작하지 않을 수 있습니다. 확인 후 조치해 주세요.
원인: 에이전트가 웹쉘 행위 수집을 위해 접근해야 하는 곳(웹루트 경로, 업로드 경로, Access Log 등)에 접근할 수 없습니다.
해결 방법: 오류 메시지에서 표기된 경로에 대해 에이전트가 접근할 수 있도록 조치해 주십시오.[6007] 에이전트와 연결이 되지 않습니다. 에이전트의 실행 상태 또는 서버 네트워크를 확인해주세요.
원인: 에이전트와의 통신이 끊어졌습니다.
해결 방법: 에이전트 실행 여부나 탐지 대상 서버의 네트워크 상태를 확인해 주십시오. 에이전트가 종료되었다면 다음과 같이 에이전트를 실행해 주십시오.[ Linux용 Agent ] # /opt/nbp/wbd/wbd_agent -s start [ Kubernetes용 Agent ] # kubectl apply -f https://beta-wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml [ Windows용 Agent ] > %LOCALAPPDATA%/WBDAgent/AgentService.exe
[6008] 에이전트 업데이트를 실패하였습니다. 에이전트의 실행 상태 또는 서버 네트워크를 확인해주세요.
원인: 에이전트에 업데이트 시그널을 전송하였으나 업데이트가 진행되지 않았습니다.
해결 방법:- 에이전트 실행 여부나 탐지 대상 서버의 네트워크 상태를 확인해 주십시오. 에이전트가 종료되었다면 다음과 같이 에이전트를 실행해 주십시오.
[ Linux용 Agent ] # /opt/nbp/wbd/wbd_agent -s start [ Kubernetes용 Agent ] # kubectl apply -f https://beta-wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml [ Windows용 Agent ] > %LOCALAPPDATA%/WBDAgent/AgentService.exe
- 에이전트가 정상적으로 실행 중이라면 다음과 같이 에이전트를 종료했다가 다시 실행해 주십시오.
[ Linux용 Agent ] # /opt/nbp/wbd/wbd_agent -s stop # /opt/nbp/wbd/wbd_agent -s start or # /opt/nbp/wbd/wbd_agent -s reload [ Kubernetes용 Agent ] # kubectl delete -f https://beta-wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml # kubectl apply -f https://beta-wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml [ Windows용 Agent ] > %LOCALAPPDATA%/WBDAgent/AgentService.exe exit > %LOCALAPPDATA%/WBDAgent/AgentService.exe
[6021] 요청하신 명령에 대해 시간 초과되었습니다. 잠시 후 다시 시도해주세요.
원인: 에이전트에 활성화/비활성화 또는 파일 격리/복구 명령을 전송하였으나 시간이 초과하였습니다.
해결 방법:- 에이전트 실행 여부나 탐지 대상 서버의 네트워크 상태를 확인해 주십시오. 에이전트가 종료되었다면 다음과 같이 에이전트를 실행해 주십시오.
[ Linux용 Agent ] # /opt/nbp/wbd/wbd_agent -s start [ Kubernetes용 Agent ] # kubectl apply -f https://beta-wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml [ Windows용 Agent ] > %LOCALAPPDATA%/WBDAgent/AgentService.exe
- 에이전트가 정상적으로 실행 중이라면 다음과 같이 에이전트를 종료했다가 다시 실행해 주십시오.
[ Linux용 Agent ] # /opt/nbp/wbd/wbd_agent -s stop # /opt/nbp/wbd/wbd_agent -s start or # /opt/nbp/wbd/wbd_agent -s reload [ Kubernetes용 Agent ] # kubectl delete -f https://wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml # kubectl apply -f https://wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml [ Windows용 Agent ] > %LOCALAPPDATA%/WBDAgent/AgentService.exe exit > %LOCALAPPDATA%/WBDAgent/AgentService.exe
[6023] 에이전트와 연결이 되지 않습니다. 에이전트의 실행 상태 또는 서버 네트워크를 확인해주세요.
원인: 명령어를 전송하였으나 에이전트와 연결이 되지 않습니다.
해결 방법:- 에이전트 실행 여부나 탐지 대상 서버의 네트워크 상태를 확인해 주십시오. 에이전트가 종료되었다면 다음과 같이 에이전트를 실행해 주십시오.
[ Linux용 Agent ] # /opt/nbp/wbd/wbd_agent -s start [ Kubernetes용 Agent ] # kubectl apply -f https://wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml [ Windows용 Agent ] > %LOCALAPPDATA%/WBDAgent/AgentService.exe
- 에이전트가 정상적으로 실행 중이라면 다음과 같이 에이전트를 종료했다가 다시 실행해 주십시오.
[ Linux용 Agent ] # /opt/nbp/wbd/wbd_agent -s stop # /opt/nbp/wbd/wbd_agent -s start or # /opt/nbp/wbd/wbd_agent -s reload [ Kubernetes용 Agent ] # kubectl delete -f https://wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml # kubectl apply -f https://wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml [ Windows용 Agent ] > %LOCALAPPDATA%/WBDAgent/AgentService.exe exit > %LOCALAPPDATA%/WBDAgent/AgentService.exe
[8003] 파일 격리 명령 전송을 실패하였습니다. 에이전트의 실행 상태 또는 서버 네트워크를 확인해주세요.
원인: 파일 격리 명령어를 전송하였으나 에이전트와 연결이 되지 않습니다.
해결 방법:- 에이전트 실행 여부나 탐지 대상 서버의 네트워크 상태를 확인해 주십시오. 에이전트가 종료되었다면 다음과 같이 에이전트를 실행해 주십시오.
[ Linux용 Agent ] # /opt/nbp/wbd/wbd_agent -s start [ Kubernetes용 Agent ] # kubectl apply -f https://wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml [ Windows용 Agent ] > %LOCALAPPDATA%/WBDAgent/AgentService.exe
- 에이전트가 정상적으로 실행 중이라면 다음과 같이 에이전트를 종료했다가 다시 실행해 주십시오.
[ Linux용 Agent ] # /opt/nbp/wbd/wbd_agent -s stop # /opt/nbp/wbd/wbd_agent -s start or # /opt/nbp/wbd/wbd_agent -s reload [ Kubernetes용 Agent ] # kubectl delete -f https://wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml # kubectl apply -f https://wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml [ Windows용 Agent ] > %LOCALAPPDATA%/WBDAgent/AgentService.exe exit > %LOCALAPPDATA%/WBDAgent/AgentService.exe
[8004] 잘못된 요청입니다. 새로 고침 후 진행해 주세요.
원인: 삭제된 대상에 대해 삭제를 요청하거나 예외 처리된 대상에 대해 예외 처리하는 등 유효하지 않은 요청이 실행되었습니다.
해결 방법:- 새로고침을 통해 최신 내용을 확인한 후 진행해 주십시오.
- 동일한 문제가 지속적으로 발생할 경우 네이버 클라우드 포털의 고객 문의 기능을 이용해 문의해 주십시오.
[8005] 잘못된 요청입니다. 새로 고침 후 진행해 주세요.
원인: 요청한 값이 유효하지 않습니다.
해결 방법:- 새로고침을 통해 유효한 데이터에 대한 요청인지 확인한 후 진행해 주십시오.
- 동일한 문제가 지속적으로 발생할 경우 네이버 클라우드 포털의 고객 문의 기능을 이용해 문의해 주십시오.
[8008] 이미 격리/복구된 파일입니다. 새로 고침 후 진행해 주세요.
원인: 이미 격리된 파일을 격리 요청하거나 복구된 파일을 복구 요청하였습니다.
해결 방법:- 새로고침을 통해 최신 내용을 확인한 후 진행해 주십시오.
- 동일한 문제가 지속적으로 발생할 경우 네이버 클라우드 포털의 고객 문의 기능을 이용해 문의해 주십시오.
[8009] 파일 복구 명령 전송을 실패하였습니다. 에이전트의 실행 상태 또는 서버 네트워크를 확인해주세요.
원인: 파일 복구 명령을 전송하였으나 에이전트와 연결이 되지 않습니다.
해결 방법:- 에이전트 실행 여부나 탐지 대상 서버의 네트워크 상태를 확인해 주십시오. 에이전트가 종료되었다면 다음과 같이 에이전트를 실행해 주십시오.
# /opt/nbp/wbd/wbd_agent -s start
- 에이전트가 정상적으로 실행 중이라면 다음과 같이 에이전트를 종료했다가 다시 실행해 주십시오.
[ Linux용 Agent ] # /opt/nbp/wbd/wbd_agent -s stop # /opt/nbp/wbd/wbd_agent -s start or # /opt/nbp/wbd/wbd_agent -s reload [ Kubernetes용 Agent ] # kubectl delete -f https://beta-wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml # kubectl apply -f https://beta-wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml [ Windows용 Agent ] > %LOCALAPPDATA%/WBDAgent/AgentService.exe exit > %LOCALAPPDATA%/WBDAgent/AgentService.exe
[8010] 에이전트 활성화 명령 전송을 실패하였습니다. 에이전트의 실행 상태 또는 서버 네트워크를 확인해주세요.
원인: 활성화 명령을 전송하였으나 에이전트와 연결이 되지 않습니다.
해결 방법:- 에이전트 실행 여부나 탐지 대상 서버의 네트워크 상태를 확인해 주십시오. 에이전트가 종료되었다면 다음과 같이 에이전트를 실행해 주십시오.
[ Linux용 Agent ] # /opt/nbp/wbd/wbd_agent -s start [ Kubernetes용 Agent ] # kubectl apply -f https://beta-wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml [ Windows용 Agent ] > %LOCALAPPDATA%/WBDAgent/AgentService.exe
- 에이전트가 정상적으로 실행 중이라면 다음과 같이 에이전트를 종료했다가 다시 실행해 주십시오.
[ Linux용 Agent ] # /opt/nbp/wbd/wbd_agent -s stop # /opt/nbp/wbd/wbd_agent -s start or # /opt/nbp/wbd/wbd_agent -s reload [ Kubernetes용 Agent ] # kubectl delete -f https://beta-wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml # kubectl apply -f https://beta-wbd.ncloud.com:18088/agent/wbd_agent_ds.yaml [ Windows용 Agent ] > %LOCALAPPDATA%/WBDAgent/AgentService.exe exit > %LOCALAPPDATA%/WBDAgent/AgentService.exe
[8012] 한 번에 조회 또는 접근할 수 있는 범위를 초과하였습니다. 조회 기간 또는 조건을 조절하여 진행해 주세요.
원인: 한 번에 조회 또는 접근할 수 있는 범위(10,000개)를 초과하였습니다.
해결 방법:- 조회 기간 또는 조건 설정을 통해 허용 범위 내로 조절한 후 조회해 주십시오.
- 동일한 문제가 지속적으로 발생할 경우 네이버 클라우드 포털의 고객 문의 기능을 이용해 문의해 주십시오.
[8013] 변경된 탐지 대상 설정 정보를 송신하였으나 실패하였습니다. 에이전트의 실행 상태 또는 서버 네트워크를 확인해주세요.
원인: 변경된 탐지 대상 설정 정보를 송신하였으나 에이전트와 연결이 되지 않습니다.
해결 방법:- 에이전트 실행 여부나 탐지 대상 서버의 네트워크 상태를 확인해 주십시오. 에이전트가 종료되었다면 다음과 같이 에이전트를 실행해 주십시오.
[ Linux용 Agent ] # /opt/nbp/wbd/wbd_agent -s start [ Kubernetes용 Agent ] # kubectl apply -f https://wbd.gov-ncloud.com:18088/agent/wbd_agent_ds.yaml [ Windows용 Agent ] > %LOCALAPPDATA%/WBDAgent/AgentService.exe
- 에이전트가 정상적으로 실행 중이라면 다음과 같이 에이전트를 종료했다가 다시 실행해 주십시오.
[ Linux용 Agent ] # /opt/nbp/wbd/wbd_agent -s stop # /opt/nbp/wbd/wbd_agent -s start or # /opt/nbp/wbd/wbd_agent -s reload [ Kubernetes용 Agent ] # kubectl delete -f https://wbd.gov-ncloud.com:18088/agent/wbd_agent_ds.yaml # kubectl apply -f https://wbd.gov-ncloud.com:18088/agent/wbd_agent_ds.yaml [ Windows용 Agent ] > %LOCALAPPDATA%/WBDAgent/AgentService.exe exit > %LOCALAPPDATA%/WBDAgent/AgentService.exe
[8023] Pod의 웹 서버 환경/경로 설정을 찾을 수 없습니다.
원인: Kubernetes Pod의 웹 루트/업로드 경로를 등록하지 않았거나 잘못된 경로를 입력했거나 접근할 수 없는 경로를 지정한 경우 탐지할 수 없습니다.
해결 방법: Kubernetes Pod의 웹 루트/업로드 경로를 설정해 주십시오.