Login
      내용 x
      WebShell Behavior Detector 에이전트 설치 및 실행
        • 인쇄
        • PDF
        내용

        WebShell Behavior Detector 에이전트 설치 및 실행

          • 인쇄
          • PDF
          Article Summary

          VPC 환경에서 이용 가능합니다.

          WebShell Behavior Detector가 정상적으로 웹쉘 행위 탐지를 시작하려면 등록된 탐지 대상 서버에 에이전트를 설치하고 실행해야 합니다. 또한 WebShell Behavior Detector 작동 중에도 에이전트를 원격으로 실행하거나 종료하는 등 원격 제어가 필요할 수 있습니다. 다음을 참고하여 에이전트를 설치하고 제어하십시오.

          에이전트 설치 및 실행

          에이전트 설치 및 실행은 명령어를 통해 다음과 같은 과정으로 진행합니다.

          1. 탐지 대상 서버 접속
          2. 에이전트 설치
          3. 에이전트 실행 확인
          4. 정상 탐지 테스트

          1. 탐지 대상 서버 접속

          탐지 대상 서버에 에이전트를 설치하려면 먼저 해당 서버에 root 권한으로 접속해야 합니다. 서버에 원격으로 접속하는 방법은 리눅스 서버 접속 가이드를 참고하십시오.

          2. 에이전트 설치

          다음 명령어를 입력해 에이전트를 설치하십시오.

          # wget https://wbd.fin-ncloud.com:18088/agent/wbd_installer.sh -O wbd_installer.sh
# chmod a+x wbd_installer.sh
# ./wbd_installer.sh

          에이전트가 성공적으로 설치되었다면 다음과 같은 문구가 표시됩니다.
          security-17-184_ko

          참고
          • 설치 과정 또는 결과가 위와 다르게 나타나면 설치 스크립트(wbd_installer.sh)를 다시 실행하십시오.
          • 설치 과정에서 오류가 발생하면 오류 코드별 대응 방법을 참고하십시오.

          3. 에이전트 실행 확인

          다음 명령어를 입력해 에이전트가 성공적으로 설치되어 실행 중인지 확인하십시오.

          # ps -ef | grep wbd

          에이전트가 정상적으로 실행 중이라면 다음과 같은 문구가 표시됩니다.
          security-17-185_ko

          또는 네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 Services > Security > WebShell Behavior Detector > Detection Setting > Configuration 메뉴를 차례대로 클릭한 후 탐지 대상 목록에서 에이전트 상태가 활성화로 표시되는지 확인하십시오.
          wbd-wbdsetting-config-vpc-ko

          4. 정상 탐지 테스트

          Webshell Behavior Detector 에이전트가 정상적으로 설치되어 실행되고 있음을 확인했다면, 가짜 웹쉘 파일을 통해 웹쉘 행위를 잘 탐지하는지 확인하십시오.

          주의
          • 가짜 웹쉘 파일은 인자 값을 받지 않는 형태로 작성하십시오.
            예시: webshell.php?cmd=cat /etc/hosts
          • 유추할 수 없는 경로와 파일명으로 작성하십시오.
            예시: webshelltestfile_202001011230.php
          • 테스트를 완료한 후에는 가짜 웹쉘 파일을 반드시 삭제하십시오.

          다음은 가짜 웹쉘 파일의 예시입니다. 가짜 웹쉘 파일 작성 시 참고용으로만 활용하십시오.

          • PHP
          <?php
system("ls -al /tmp/thereisnodir");
?>
          • JSP
          <%@ page import="java.io.*"%>
  <% Process child = Runtime.getRuntime().exec("ls -al /tmp/thereisnodir");

  InputStream in = child.getInputStream();
  int c;
  while ((c = in.read()) != -1) {
  out.print((char)c);
  }
  %>

          이와 같은 가짜 웹쉘 파일을 웹 경로에 유추하기 어려운 파일명으로 저장한 후 접근을 시도하십시오. 네이버 클라우드 플랫폼 콘솔에서 웹쉘 행위를 탐지한다면 설치 및 실행이 성공한 것을 확인할 수 있습니다.
          wbd-wbdstart-test-vpc-ko

          참고

          서버 상태에 따라 cmdline은 제대로 수집되지 않을 수 있습니다.

          에이전트 실행 또는 종료

          웹쉘 탐지 기능 작동은 에이전트 프로세스의 상태가 아니라 에이전트 활성화 여부에 따라 결정됩니다.

          웹쉘 탐지 기능을 이용하려면 에이전트 프로세스를 실행한 뒤 콘솔에서 에이전트 활성화를 진행하십시오. 에이전트가 활성화되면 웹쉘 탐지가 시작되어 과금이 적용됩니다.

          웹쉘 탐지 기능을 이용하지 않을 때에는 에이전트를 비활성화하면 프로세스는 여전히 실행되고 있기 때문에 추후 콘솔을 통해 활성화하여 바로 이용할 수 있습니다. 당분간 사용할 계획이 없다면 프로세스를 종료할 수도 있습니다. 추후 서비스 이용 시에는 먼저 에이전트를 실행해야 합니다.

          에이전트 프로세스 실행

          다음 명령어를 입력해 에이전트 프로세스를 실행하십시오.

          # /opt/nbp/wbd/wbd_agent

          에이전트 프로세스 종료

          다음 명령어를 입력해 에이전트 프로세스를 종료하십시오.

          # /opt/nbp/wbd/wbd_agent -s stop

          에이전트 삭제

          설치 스크립트를 이용해 "uninstall"을 인자 값으로 넣어 에이전트를 삭제할 수 있습니다. 다음 명령어를 입력해 에이전트를 삭제하십시오.

          # wget https://wbd.fin-ncloud.com:18088/agent/wbd_installer.sh -O wbd_installer.sh
# chmod a+x wbd_installer.sh
#./wbd_installer.sh uninstall
          이 문서가 도움이 되었습니까?
          What's Next
          Change password!
          Changing your password will log you out immediately. Use the new password to log back in.
          Change profile
          Success!
          First name must have atleast 2 characters. Numbers and special characters are not allowed.
          Last name must have atleast 1 characters. Numbers and special characters are not allowed.
          Enter a valid email
          Enter a valid password
          Your profile has been successfully updated.
          Logout