ウェブシェル行為発生の確認(Webshell List)
- 印刷する
- PDF
ウェブシェル行為発生の確認(Webshell List)
- 印刷する
- PDF
記事の要約
この要約は役に立ちましたか?
ご意見ありがとうございます
VPC環境で利用できます。
Webshell List メニューは、エージェントが顧客のサーバで検知したウェブシェル行為を確認して管理できるメニューです。
このメニューでは、ウェブシェル行為かどうかを判断して対応する上で参考になる、サーバ情報、検知時間、プロセス情報、攻撃者と疑われるIP情報などを確認できます。また、検知されたウェブシェル行為を発生させたウェブシェルと疑われるファイルリストとともに隔離したり、隔離されたファイルを復旧することができ、検知されたウェブシェル行為をもとに簡単に例外処理することもできます。
ウェブシェル行為の詳細情報の確認
ウェブシェル行為が検知され通知を受けた場合、NAVERクラウドプラットフォームコンソールのウェブシェル行為リスト(Webshell List)で詳細情報を確認して必要な措置を取ることができます。
ウェブシェル行為の詳細情報を確認する方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのVPC環境で Services > Security > Webshell Behavior Detector メニューを順にクリックします。
- Detection List > Webshell List メニューを順にクリックします。
- 確認するウェブシェル行為項目をクリックします。
- ウェブシェル行為の詳細情報が表示されます。
ウェブシェル行為リスト画面の各項目についての説明は以下のとおりです。
| 領域 | 説明 |
|---|---|
| ① 例外処理 | この項目で例外処理ルールを設定 |
| ② ファイル隔離/復旧 | 疑わしいファイルリストを確認 |
| ③ 検知履歴の削除 | このウェブシェル行為項目を削除 |
| ④ 検知時間 | 検知時間を基準に項目をフィルタリング |
| ⑤ 検索画面 | 検索条件を設定し、[検索] ボタンをクリックして項目を検索 |
| ⑥ Filter | 対応状態を基準に項目をフィルタリング |
| ⑦ ウェブシェル行為項目 | ウェブシェル行為情報の確認と関連機能ボタンの使用 |
| ⑧ 詳細情報 | ウェブシェル行為の詳細情報の確認 |
疑わしいファイルを見る
検知されたウェブシェル行為に関連した疑わしいファイルリストを確認し、ウェブシェルと判断したファイルを隔離したり、隔離されたファイルを復旧することができます。
ウェブシェルと疑われるファイルを確認する方法は以下のとおりです。
NAVERクラウドプラットフォームコンソールのVPC環境でServices > Security > Webshell Behavior Detectorメニューを順にクリックします。
Detection List > Webshell Listメニューを順にクリックします。
確認する項目の 疑わしいファイル 領域で [見る] ボタンをクリックします。
- 項目をクリックしてからリスト上段にある [ファイル隔離/復旧] ボタンをクリックしても構いません。
リストのポップアップでファイルをクリックして詳細情報を確認します。
検知した行為をウェブシェルと判断した場合は、隔離/復旧 の横にある [ファイル隔離] ボタンをクリックしてファイルを隔離します。
- そのファイルは、同じパスで攻撃者が類推しにくいファイル名で隔離されます。
(例:/var/www/html/uploads/webshell.php.webshell_20200320012000.BC98D127F4) - そのウェブシェル行為項目は確認状態(グレーのアイコンとテキスト)に変わり、隔離されたファイルは疑わしいファイルリスト(Quarantine)に追加されます。
- ファイルが隔離されると、[ファイル隔離] ボタンが [ファイル復旧] ボタンに切り替わり、必要に応じてファイルを復旧できます。隔離されたファイルを復旧すると、そのページではそれ以上、ファイルの隔離または復旧は行えません。
- そのファイルは、同じパスで攻撃者が類推しにくいファイル名で隔離されます。
注意事項
正常なファイルを隔離するとサービス障害が発生する可能性があります。慎重に行ってください。
参考情報
疑わしいファイルリストにウェブシェルが存在しない場合があります。ウェブシェルファイルの追跡で、ウェブシェルファイルを見つけ出す際に確認または考慮すべき条件と状況をご参照ください。
疑わしいIPを見る
検知されたウェブシェル行為に関連した攻撃者と疑われるIPリストを確認できます。
疑わしいIPを確認する方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのVPC環境でServices > Security > Webshell Behavior Detectorメニューを順にクリックします。
- Detection List > Webshell Listメニューを順にクリックします。
- 確認する項目の 疑わしいIP 領域で [見る] ボタンをクリックします。
- リストのポップアップで疑わしいIP情報を確認します。
参考情報
ウェブシェルの攻撃者IPが、疑わしいIPリストで表示されない場合があります。ウェブシェル攻撃者のIP追跡で、ウェブシェル攻撃者IPを見つけ出す際に確認または考慮すべき条件と状況をご参照ください。
例外処理
検知されたウェブシェル行為項目が正常な動作である場合、例外処理してその行為が再び検知されないように設定できます。
ウェブシェル行為項目を例外処理する方法は以下のとおりです。
NAVERクラウドプラットフォームコンソールのVPC環境でServices > Security > Webshell Behavior Detectorメニューを順にクリックします。
Detection List > Webshell Listメニューを順にクリックします。
例外処理する項目をクリックし、[例外処理] ボタンをクリックします。
設定ポップアップでルール名を入力し、必要に応じて入力された値を修正します。
- 例外ルールの条件をすべて満たすウェブシェル行為のみ(AND条件)例外処理されます。
- 例外ルールを作成する際に選択できる条件は以下のとおりです。
- START:入力した文字列で始まる場合
- END:入力した文字列で終わる場合
- NOT USE:この条件を使用しない場合
注意事項
NOT USE条件を使用すると、例外ルールとして処理される対象の範囲が大きくなります。慎重に使用してください。過剰に使用すると、検知漏れになる可能性が高まります。
- 設定が終わったら [はい] ボタンをクリックします。
- 例外処理したウェブシェル行為項目は例外ルールリスト(Excepted List)に移動します。
参考情報
追加された例外ルールは Exception Setting > Exceptionメニューで確認できます。
確認/未確認処理
新たに検知されたウェブシェル行為項目は、識別できるように赤い色で表示されます。その項目で疑わしいファイルを隔離すると自動で赤い色が解除されますが、隔離の必要ない項目であれば確認状態を直接変更できます。
ウェブシェル行為項目の確認状態を変更する方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのVPC環境でServices > Security > Webshell Behavior Detectorメニューを順にクリックします。
- Detection List > Webshell Listメニューを順にクリックします。
- 確認処理する項目の 確認 領域で
をクリックします。- アイコンとテキストの色がグレーに変わります。
- 未確認状態に戻すには、アイコンをもう一度クリックします。
をクリックします。メモの作成
ウェブシェル行為項目に簡単な説明や追加情報などのメモを追加できます。
メモを作成する方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのVPC環境でServices > Security > Webshell Behavior Detectorメニューを順にクリックします。
- Detection List > Webshell Listメニューを順にクリックします。
- メモを追加する項目をクリックし、詳細情報領域で メモ の横にある [修正] ボタンをクリックします。
- メモの内容を入力し、[保存] ボタンをクリックします。
検知履歴の削除
不要なウェブシェル行為項目を削除できます。
ウェブシェル行為項目を削除する方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのVPC環境でServices > Security > Webshell Behavior Detectorメニューを順にクリックします。
- Detection List > Webshell Listメニューを順にクリックします。
- ウェブシェル行為項目をクリックし、[検知履歴の削除] ボタンをクリックします。
- 確認のポップアップで [はい] ボタンをクリックします。
この記事は役に立ちましたか?