웹셀 공격자 IP 추적

VPC 환경에서 이용 가능합니다.

웹쉘 침해 사고 발생 시 웹쉘 공격자 IP 추적 시 다음의 내용을 참고하십시오.

콘솔에서 제공하는 공격자 의심 IP 목록 확인
탐지된 웹쉘 행위와 함께 수집된 의심 IP 목록은 웹쉘 행위가 발생한 시점에 다양한 조건들을 바탕으로 도출해낸 목록입니다. 웹쉘 행위가 발생한 시점에 고객 VM과 통신 여부 등 다양한 조건들을 비교하여 국가 정보와 함께 IP를 제공합니다.

의심 IP 목록 중 공격자 IP가 존재할 가능성이 비교적 높기 때문에 공격자 IP 추적 시 참고할 수 있습니다.
상황에 따라 의심 IP을 수집하지 못할 수 있으므로 수집 여부와 상관없이 다음 내용을 참고해 Access Log를 통해 공격자 IP를 추적해보십시오.

Access Log를 통한 웹쉘 공격자 IP 추적
WAS의 Access Log에서 웹쉘 행위를 찾아 웹쉘 공격자 IP를 추적할 수 있습니다. Access Log에서 웹쉘 실행을 위해 접근한 IP를 찾을 때에는 다음과 같은 조건을 참고하십시오.

• 웹쉘이 탐지된 시점에 접근한 이력들을 공격자로 의심해볼 수 있습니다.
  접근한 파일의 확장자가 WAS에서 실행 가능한 확장자이거나 의도하지 않은 파일일 경우 웹쉘일 가능성이 있습니다.
• 업로드될 수 있는 경로에 존재하는 파일에 접근한 이력이 있다면 웹쉘 실행을 위한 접근으로 의심해볼 수 있습니다.
• 웹쉘이 실행한 명령어가 URL 쿼리 스트링(Query String)에 남아 있는 경우 웹쉘 실행을 위한 접근으로 의심해볼 수 있습니다.
  예시: webshell.php?cmd=cat%20/etc/hosts