통큰아이, 서버호스팅, IDC, 서버임대


	통큰아이 모든메뉴보기

	신청/운영
	연락처 : 02-6959-3661
	서버요금/결제
	연락처 : 02-6959-3660

서버운영

서버 관리하기

리눅스

윈도우

서버 구축

리눅스

윈도우

자료실

리눅스

윈도우

통큰서버 소개

지원하는 리눅스 OS 소개

아이서버 소개

아이서버란?

아이서버 FAQ

아이서버 메뉴얼

	게시판 문의상담
		1 : 1 문의하러가기

	서버 / IDC
		신청/운영 : 02-6959-3661 서버요금/결제 : 02-6959-3660


	문자메세지
		031-698-4744

홈 / 서버/IDC / 도우미

번호

조회

1135

이름

통큰아이

작성일

2010-09-15

제목	웹쉘 탐지프로그램 이용방법

파일	웹쉘 탐지프로그램 이용방법.doc

웹쉘 탐지프로그램 이용방법입니다.

공격자에 의해 생성된 웹쉘을 손쉽게 탐지하고 대응하기 위한
"웹쉘 탐지 프로그램(whistl)"입니다.

*whistl 프로그램은 공격가가 웹서버를 해킹 한 후 생성한 웹쉘 파일을 서버 관리자들이 쉽게
탐지 할 수 있도록 패턴과 인터페이스를 제공하는 프로그램입니다.

*또한 whistl은 홈페이지의 보안 강화용으로 사용할 수 없습니다. 웹서버 해킹을 예방하기
위해서는 웹 전용 보안 장비를 운영하시고 취약점 여부를 점검하여야 합니다.

[ 웹쉘 탐지프로그램 이용방법 ]

최근 공격자들이 국내 웹서버를 해킹하여 웹쉘을 업로드한 후 악성코드 유포 및 개인정보 탈취 사례가 지속적으로 발생하고 있습니다.
공격자에 의해 생성된 웹쉘을 손쉽게 탐지하고 대응하기 위하여 "웹쉘 탐지 프로그램(whistl)" 사용방법을 올려드립니다.

*whistl 프로그램은 공격가가 웹서버를 해킹 한 후 생성한 웹쉘 파일을 서버 관리자들이 쉽게
탐지 할 수 있도록 패턴과 인터페이스를 제공하는 프로그램입니다.

*또한 whistl은 홈페이지의 보안 강화용으로 사용할 수 없습니다. 웹서버 해킹을 예방하기
위해서는 웹 전용 보안 장비를 운영하시고 취약점 여부를 점검하여야 합니다.

1.한국인터넷진흥원에서 웹셀탐지 프로그램과 인증파일을 받는다.
그리고 프로그램 이용을 위한 id/pwd를 받는다.
http://krcert.or.kr/kor/webprotect/webprotect_02.jsp

2. whistl 실행프로그램과 validate.bin 파일을 받는다.
whistl 실행프로그램은 윈도우용과 리눅스용으로 나뉜다.
Whistl.zip 압축을 풀면 whistl_window.zip,whistl_Linux.tgz을 볼수있다.
whistl_Linux.tgz 압축된 파일은 검사하고자하는 서버로 가져가서 압축을 푼다.

3. whistl_Linux.tgz 압축 풀면 실행파일(=whistl_kernel_2.6)이 있는 곳에 validate.bin 파일을
함께 둔다.
4. 실행파일 whistl_kernel_2.6 권한을 준다.
chmod 777 whistl_kernel_2.6
5. -c 옵션으로 whistl를 실행하면 현재 환경설정이 표시되며 “[ ]” 안의 번호나 명령을 입력하고 enter를 누르면 해당값을 입력 할 수 있다.
./ whistl_kernel_2.6 –c
[1] Checking Directory:디폴트 검사 디렉토리, “ , “로 구분하여 복수지정이 가능하다.
[2] Inspection Center directory:검역소 디렉토리(탐지된 웹쉘을 이동할 디렉토리)
[4] Extension of php :”-e php”옵션으로 whistl를 실행할 시 검사할 대상이 되는 파일의 확장자입력하며, “ , ”로 구분하여 설정한다.
[5] Extension of jsp: ”-e jsp”옵션으로 whistl를 실행할 시 검사할 대상이 되는 파일의 파일의 확장자입력하며, “ , ”로 구분하여 설정한다.
[s]save:환경설정저장
[q]quit:프로그램종료

6.5번에서 환경설정한 내용대로 whistl를 실행한다.(=웹쉘검사)
./ whistl_kernel_2.6
id : ****
pwd : ****
7.결과값을 기다려 웹셀에서 탐지한 파일들을 살펴보고 삭제및 적절한 처리를 한다.

다음글	root 유저 접속 금지하고 일반유저 사용방법

이전글	modsecurity(DSO방식)




	마준소프트 주식회사 ㅣ 사업자 등록번호: 220-86-18296 ㅣ 통신판매업 신고번호 : 제03601호 ㅣ 대표자 : 마준석 서울특별시 서초구 서초동 법원로 1길 6 (서초동)