일반적인 문제

WebShell Behavior Detector 서비스를 이용하면서 다음과 같은 문제를 겪을 수 있습니다. 문제별 원인과 해결 방법을 확인하고 적절하게 조치해 주십시오.

웹쉘 파일 격리 또는 파일 복구 실패

웹쉘 파일 격리 또는 파일 복구가 수행되지 않았습니다.
웹쉘 파일 격리 또는 파일 복구에 실패했습니다.

원인

격리할 파일 또는 복구할 파일이 존재하지 않을 경우 실패할 수 있습니다. 또는 변경할 파일 이름이 이미 같은 경로에 존재할 경우 실패할 수 있습니다. 다른 관리자에 의해 이미 처리되는 등 다양한 상황이 존재할 수 있습니다.

해결 방법

오류 메시지에서 화면에 표시되는 오류 메시지를 검색한 후 해결 방법에 따라 조치해 주십시오.

탐지 알림 간격 조정

탐지 알림이 너무 자주 옵니다.

원인

Webshell Behavior Detector 서비스는 웹쉘 행위가 탐지될 경우 알림을 발송합니다. 다만, 웹쉘 행위 기반 특성상 짧은 시간 내 많은 명령어가 실행될 수 있으며 실행되는 명령어마다 알림을 발송할 경우 과도한 알림이 발생할 수 있습니다.

해결 방법

서버 환경에 맞게 Interval 설정을 조정할 수 있습니다. 네이버 클라우드 플랫폼 콘솔의 Security > Webshell Behavior Detector > Notification Setting > Interval 메뉴에서 알림 전송 주기를 조정해 주십시오.
Interval 메뉴에서 설정한 알림은 웹셀 탐지 알림만 해당하며, 사용자가 설정한 알림 주기 내에서 알림을 1회만 발송합니다.

에이전트 오류

에이전트를 설치했는데 미설치 상태로 표시됩니다.
탐지 대상으로 등록하기 전에 에이전트를 먼저 설치했습니다.

원인

서비스를 정상적으로 이용하려면 탐지 대상을 등록한 후 에이전트를 설치해야 합니다. 탐지 대상을 등록하기 전에 에이전트를 설치한 경우, 실행 단계에서 실패하여 에이전트가 종료될 수 있으며, 이후 탐지 대상을 등록하더라도 콘솔 화면에서는 에이전트가 미설치 상태로 표시됩니다.

해결 방법

에이전트를 실행하는 방법은 다음과 같습니다. root 권한으로 진행해 주십시오.

1. 다음 방법 중 하나를 수행해 주십시오.
   • 에이전트 설치 시 사용한 스크립트를 실행해 주십시오. 에이전트가 이미 설치되어 있으므로 설치 과정을 생략하고 에이전트가 실행됩니다.
   • 에이전트를 실행하는 명령어인 /opt/nbp/wbd/wbd_agent -s start를 입력해 주십시오.
2. 콘솔에서 에이전트 상태가 활성화로 변경되었는지 확인해 주십시오.