VPC 환경에서 이용 가능합니다.
WebShell List 메뉴는 에이전트가 고객 서버에서 탐지한 웹쉘 행위들을 확인하고 관리할 수 있는 메뉴입니다.
이 메뉴에서는 웹쉘 행위 여부를 판단하고 대응하는 데 참고할 수 있는 서버 정보, 탐지 시간, 프로세스 정보, 공격자 의심 IP 정보 등을 확인할 수 있습니다. 또한, 탐지된 웹쉘 행위를 발생시킨 웹쉘 의심 파일 목록과 함께 격리하거나 격리된 파일을 복구할 수 있고, 탐지된 웹쉘 행위를 바탕으로 간편하게 예외 처리할 수도 있습니다.
웹쉘 행위 상세 정보 확인
웹쉘 행위가 탐지되어 알림을 받은 경우 네이버 클라우드 플랫폼 콘솔의 웹쉘 행위 목록(WebShell List)에서 상세 정보를 확인하고 필요한 조치를 취할 수 있습니다.
웹쉘 행위 상세 정보를 확인하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 Services > Security > WebShell Behavior Detector 메뉴를 차례대로 클릭해 주십시오.
- Detection List > WebShell List 메뉴를 차례대로 클릭해 주십시오.
- 확인할 웹쉘 행위 항목을 클릭해 주십시오.
- 웹쉘 행위에 대한 상세 정보가 표시됩니다.
웹쉘 행위 목록 화면의 각 항목에 대한 설명은 다음과 같습니다.
| 영역 | 설명 |
|---|---|
| ① 예외 처리 | 해당 항목으로 예외 처리 규칙 설정 |
| ② 파일 격리/복구 | 의심 파일 목록 확인 |
| ③ 탐지 내역 삭제 | 해당 웹쉘 행위 항목 삭제 |
| ④ 탐지 시간 | 탐지 시간 기준으로 항목 필터링 |
| ⑤ 검색 창 | 검색 조건 설정 후 [검색] 버튼을 눌러 항목 검색 |
| ⑥ Filter | 대응 상태 기준으로 항목 필터링 |
| ⑦ 웹쉘 행위 항목 | 웹쉘 행위 정보 확인 및 관련 기능 버튼 사용 |
| ⑧ 상세정보 | 웹쉘 행위 상세 정보 확인 |
의심 파일 보기
탐지된 웹쉘 행위와 관련된 웹쉘 의심 파일 목록을 확인해 웹쉘로 판단되는 파일을 격리하거나 격리된 파일을 복구할 수 있습니다.
웹쉘 의심 파일을 확인하는 방법은 다음과 같습니다.
-
네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 Services > Security > WebShell Behavior Detector 메뉴를 차례대로 클릭해 주십시오.
-
Detection List > WebShell List 메뉴를 차례대로 클릭해 주십시오.
-
확인할 항목의 의심 파일 영역에서 [보기] 버튼을 클릭해 주십시오.
- 항목을 클릭한 후 목록 상단에 있는 [파일 격리/복구] 버튼을 클릭해도 됩니다.
-
목록 팝업 창에서 파일을 클릭해 상세 정보를 확인해 주십시오.
-
탐지된 행위가 웹쉘로 판단된다면 격리/복구 옆에 있는 [파일 격리] 버튼을 클릭해 파일을 격리해 주십시오.
- 해당 파일이 동일한 경로에 공격자가 유추하기 어려운 파일 이름으로 격리됩니다.
(예시: /var/www/html/uploads/webshell.php.webshell_20200320012000.BC98D127F4) - 해당 웹쉘 행위 항목은 확인 상태(회색 아이콘 및 텍스트)로 처리되고, 격리된 파일은 의심 파일 목록(Quarantine)에 추가됩니다.
- 파일이 격리되면 [파일 격리] 버튼이 [파일 복구] 버튼으로 변경되어 필요한 경우 파일을 복구할 수 있습니다. 격리된 파일을 복구하면 해당 페이지에서는 더 이상 파일 격리 또는 복구를 진행할 수 없습니다.
- 해당 파일이 동일한 경로에 공격자가 유추하기 어려운 파일 이름으로 격리됩니다.
정상 파일을 격리할 경우 서비스 장애가 발생할 수 있으므로 신중히 판단하여 진행하십시오.
의심 파일 목록에 웹쉘이 존재하지 않을 수 있습니다. 웹쉘 파일 추적에서 웹쉘 파일을 찾을 때 확인하거나 고려해야 하는 조건과 상황을 참고하십시오.
의심 IP 보기
탐지된 웹쉘 행위와 관련된 공격자 의심 IP 목록을 확인할 수 있습니다.
의심 IP를 확인하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 Services > Security > WebShell Behavior Detector 메뉴를 차례대로 클릭해 주십시오.
- Detection List > WebShell List 메뉴를 차례대로 클릭해 주십시오.
- 확인할 항목의 의심 IP 영역에서 [보기] 버튼을 클릭해 주십시오.
- 목록 팝업 창에서 의심 IP 정보를 확인해 주십시오.
웹쉘 공격자 IP가 의심 IP 목록에 노출되지 않을 수 있습니다. 웹쉘 공격자 IP 추적에서 웹쉘 공격자 IP를 찾을 때 확인하거나 고려해야 하는 조건과 상황을 참고하십시오.
예외 처리
탐지된 웹쉘 행위 항목이 정상적인 동작인 경우, 예외 처리를 통해 이후 해당 행위가 다시 탐지되지 않도록 설정할 수 있습니다.
웹쉘 행위 항목을 예외 처리하는 방법은 다음과 같습니다.
-
네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 Services > Security > WebShell Behavior Detector 메뉴를 차례대로 클릭해 주십시오.
-
Detection List > WebShell List 메뉴를 차례대로 클릭해 주십시오.
-
예외 처리할 항목을 클릭한 후 [예외 처리] 버튼을 클릭해 주십시오.
-
설정 팝업 창에서 규칙 이름을 입력하고, 필요한 경우 입력된 값을 수정해 주십시오.
- 예외 규칙의 조건들을 모두 충족하는 웹쉘 행위만(AND 조건) 예외 처리됩니다.
- 예외 규칙 생성 시 선택할 수 있는 조건은 다음과 같습니다.
- START: 입력한 문자열로 시작하는 경우
- END: 입력한 문자열로 끝나는 경우
- NOT USE: 해당 조건을 사용하지 않을 경우
NOT USE 조건을 사용하면 예외 규칙으로 처리되는 대상 범위가 넓어지므로 신중하게 사용하십시오. 과도하게 사용하면 탐지 누락 가능성이 높아질 수 있습니다.
- 설정이 끝나면 [예] 버튼을 클릭해 주십시오.
- 예외 처리한 웹쉘 행위 항목은 예외 규칙 목록(Excepted List)로 이동합니다.
추가된 예외 규칙은 Exception Setting > Exception 메뉴에서 확인할 수 있습니다.
확인/미확인 처리
새로 탐지된 웹쉘 행위 항목은 식별이 가능하도록 빨간색으로 표시됩니다. 해당 항목에서 의심 파일을 격리 처리하면 자동으로 빨간색이 해제되지만, 격리 처리가 필요 없는 항목이라면 확인 상태를 직접 변경할 수 있습니다.
웹쉘 행위 항목의 확인 상태를 변경하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 Services > Security > WebShell Behavior Detector 메뉴를 차례대로 클릭해 주십시오.
- Detection List > WebShell List 메뉴를 차례대로 클릭해 주십시오.
- 확인 처리할 항목의 확인 영역에서
을 클릭해 주십시오.
- 아이콘과 텍스트의 색상이 회색으로 바뀝니다.
- 미확인 상태로 되돌리려면 아이콘을 한 번 더 클릭하십시오.
메모 작성
웹쉘 행위 항목에 간단한 설명이나 추가 정보 등의 메모를 추가할 수 있습니다.
메모를 작성하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 Services > Security > WebShell Behavior Detector 메뉴를 차례대로 클릭해 주십시오.
- Detection List > WebShell List 메뉴를 차례대로 클릭해 주십시오.
- 메모를 추가할 항목을 클릭한 후 상세 정보 영역에서 메모 옆에 있는 [수정] 버튼을 클릭해 주십시오.
- 메모 내용을 입력한 후 [저장] 버튼을 클릭해 주십시오.
탐지 내역 삭제
불필요한 웹쉘 행위 항목을 삭제할 수 있습니다.
웹쉘 행위 항목을 삭제하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 Services > Security > WebShell Behavior Detector 메뉴를 차례대로 클릭해 주십시오.
- Detection List > WebShell List 메뉴를 차례대로 클릭해 주십시오.
- 삭제할 웹쉘 행위 항목을 클릭한 후 [탐지 내역 삭제] 버튼을 클릭해 주십시오.
- 확인 팝업창에서 [예] 버튼을 클릭해 주십시오.