- 印刷する
- PDF
Webshell Behavior Detectorエージェントのインストールと実行
- 印刷する
- PDF
VPC環境で利用できます。
Webshell Behavior Detectorが正常にウェブシェル行為の検知を始めるには、登録された検知対象サーバにエージェントをインストールして実行する必要があります。また、Webshell Behavior Detectorの動作中にもエージェントを遠隔で実行または終了させるなど、遠隔制御が必要な場合も考えられます。以下の内容を参考にし、エージェントをインストールして制御してください。
エージェントのインストールと実行
エージェントのインストールと実行は、コマンドを通じて以下の段階を経て行われます。
1. 検知対象サーバにアクセス
2. エージェントのインストール
3. エージェントの実行確認
4. 正常検知テスト
1. 検知対象サーバにアクセス
検知対象サーバにエージェントをインストールするには、まずそのサーバにroot権限でアクセスする必要があります。サーバに遠隔でアクセスする方法は、Linuxサーバアクセスガイドをご参照ください。
2. エージェントのインストール
以下のコマンドを入力してエージェントをインストールします。
# wget https://wbd.ncloud.com:18088/agent/wbd_installer.sh -O wbd_installer.sh
# chmod a+x wbd_installer.sh
# ./wbd_installer.sh
エージェントが正常にインストールされると、以下のようなメッセージが表示されます。
- インストールの過程または結果が上記と異なる場合は、インストールスクリプト(wbd_installer.sh)を再実行してください。
- インストール中にエラーが発生した場合、エラーコード別の対応方法をご参照ください。
3. エージェントの実行確認
以下のコマンドを入力してエージェントが正常にインストールされて実行中であるかを確認します。
# ps -ef | grep wbd
エージェントが正常に実行中であれば、以下のようなメッセージが表示されます。
もしくは、NAVERクラウドプラットフォームコンソールのVPC環境でServices > Security > Webshell Behavior Detector > Detection Setting > Configurationメニューを順にクリックし、検知対象リストでエージェントの状態が 有効化 になっているかを確認します。
4. 正常検知テスト
Webshell Behavior Detectorエージェントが正常にインストールされ実行されていることを確認した後は、偽のウェブシェルファイルを用いてウェブシェル行為を正常に検知しているかを確認します。
- 偽のウェブシェルファイルは引数を取得しない形で作成してください。
例:webshell.php?cmd=cat /etc/hosts - 類推できないパスとファイル名で作成してください。
例:webshelltestfile_202001011230.php - テストが完了した後は、偽のウェブシェルファイルを必ず削除してください。
以下は偽のウェブシェルファイルの例です。偽のウェブシェルファイル作成時の参考用としてのみ活用してください。
- PHP
<?php
system("ls -al /tmp/thereisnodir");
?>
- JSP
<%@ page import="java.io.*"%>
<% Process child = Runtime.getRuntime().exec("ls -al /tmp/thereisnodir");
InputStream in = child.getInputStream();
int c;
while ((c = in.read()) != -1) {
out.print((char)c);
}
%>
このような偽のウェブシェルファイルをウェブパスに類推しにくいファイル名で保存した後、アクセスを試みます。NAVERクラウドプラットフォームコンソールでウェブシェル行為が検知されたら、インストールと実行に成功したことが確認できます。
サーバの状態によってcmdlineは正常に収集されないことがあります。
エージェントの実行または終了
ウェブシェル検知機能の作動は、エージェントプロセスの状態ではなくエージェントが有効化しているかどうかによって決まります。
ウェブシェル検知機能を利用するには、エージェントプロセスを実行してからコンソールでエージェントの有効化を行います。エージェントが有効化すると、ウェブシェル検知が始まり、課金が適用されます。
ウェブシェル検知機能を利用しない場合、エージェントを無効化してもプロセスは依然として実行されているため、後にコンソールを通じて有効化するとすぐに利用できます。当分の間使用する計画がない場合は、プロセスを終了しても構いません。後にサービスの利用時には先にエージェントを実行する必要があります。
エージェントプロセスの実行
以下のコマンドを入力してエージェントプロセスを実行します。
# /opt/nbp/wbd/wbd_agent
エージェントプロセスの終了
以下のコマンドを入力してエージェントプロセスを終了します。
# /opt/nbp/wbd/wbd_agent -s stop
エージェントの削除
インストールスクリプトを用いて「uninstall」を引数として入力すると、エージェントを削除できます。以下のコマンドを入力してエージェントを削除します。
# wget https://wbd.ncloud.com:18088/agent/wbd_installer.sh -O wbd_installer.sh
# chmod a+x wbd_installer.sh
#./wbd_installer.sh uninstall