[WHISTL] 웹쉘탐지 프로그램 다운받으세요 (KISA제공)
2010/02/18 18:21
웹쉘이란 "해커가 웹서버의 취약성을 틈타 웹서버상에 업로드한 웹페이지형태의 악의적인 코드"라고 할 수 있습니다. 웹쉘이 설치되어 있으면 해커는 원격에서 웹쉘이 설치된 웹서버의 파일/폴더를 마음대로 조작할 수 있으며 계정생성및 관리자권한획득, 시스템의 명령커맨드 조작등 대부분의 작업을 할 수있습니다.
이런 웹쉘이 설치되어 있는 것은 감지하기가 쉽지가 않지요.. KISA에선 공격자에 의해 생성된 웹쉘을 손쉽게 탐지하고 대응할 수 있도록 Whistl 이란 프로그램을 개발하여 보급하고 있습니다. 사용하고자 하는 회사에서는 사용신청서를 작성하여 email로 요청하면 설치파일과 인증파일/사용계정을 받을 수 있습니다.
신청하실 때 받는 메일이 실행파일을 수신할 수있게 설정되어 있어야 합니다. 제 경우 회사 메일로는 block되어서 파란메일을 통해서 받을 수 있었습니다. 최근엔 실행파일을 압축해서 보내도 메일서버에서 정책에 의해서 첨부파일을 삭제하는 경우가 많습니다.
<< WHISTL 소개및 사용신청 안내 >>
문의 및 기술지원: Tel : 02-405-5617, EMAIL : whistl@krcert.or.kr
▶ Whistl 사용신청서 양식입니다.
적을거 정말 없습니다. 작성하는데 30초도 안걸리죠.. ^^
▶ Whistl 담당자로 부터 온 메일입니다.
신청서를 보내면 며칠 걸린다고 되어있긴 했습니다만 제 경우 몇시간내에 받았네요...
첨부파일로 설치프로그램 , 인증파일, 사용하는 아이디/패스워드 정보가 왔습니다.
▶ 그럼 지금부터 Whistl을 사용해보겠습니다.
1) 일단 서비스하는 웹서버의 특정 폴더에 복사합니다. 아래처럼 실행파일과 인증파일을 같은 디렉토리에 넣어두어야 합니다.
2) 파일을 실행하면 로그인창이 뜨는데 부여받은 아이디/패스워드를 이용하여 로그인합니다.
3) 먼저 패턴을 최신으로 업데이트해야 합니다.
자동업데이트도 설정을 해두는것이 좋겠죠?
4) 환경설정에서 검색대상 확장자를 지정해줍니다. 웹서버에 따라서 적합한 것을 체크해주세요
5) 검색할 경로를 지정한 후 검사를 시작하면 되겠습니다. 검색된 웹쉘 파일이 있을 경우 파일보기를 하시면 수상한 부분을 표시해주는 것을 보실 수 있을 겁니다.
이런 웹쉘이 설치되어 있는 것은 감지하기가 쉽지가 않지요.. KISA에선 공격자에 의해 생성된 웹쉘을 손쉽게 탐지하고 대응할 수 있도록 Whistl 이란 프로그램을 개발하여 보급하고 있습니다. 사용하고자 하는 회사에서는 사용신청서를 작성하여 email로 요청하면 설치파일과 인증파일/사용계정을 받을 수 있습니다.
신청하실 때 받는 메일이 실행파일을 수신할 수있게 설정되어 있어야 합니다. 제 경우 회사 메일로는 block되어서 파란메일을 통해서 받을 수 있었습니다. 최근엔 실행파일을 압축해서 보내도 메일서버에서 정책에 의해서 첨부파일을 삭제하는 경우가 많습니다.
<< WHISTL 소개및 사용신청 안내 >>
문의 및 기술지원: Tel : 02-405-5617, EMAIL : whistl@krcert.or.kr
▶ Whistl 사용신청서 양식입니다.
적을거 정말 없습니다. 작성하는데 30초도 안걸리죠.. ^^
▶ Whistl 담당자로 부터 온 메일입니다.
신청서를 보내면 며칠 걸린다고 되어있긴 했습니다만 제 경우 몇시간내에 받았네요...
첨부파일로 설치프로그램 , 인증파일, 사용하는 아이디/패스워드 정보가 왔습니다.
▶ 그럼 지금부터 Whistl을 사용해보겠습니다.
1) 일단 서비스하는 웹서버의 특정 폴더에 복사합니다. 아래처럼 실행파일과 인증파일을 같은 디렉토리에 넣어두어야 합니다.
2) 파일을 실행하면 로그인창이 뜨는데 부여받은 아이디/패스워드를 이용하여 로그인합니다.
3) 먼저 패턴을 최신으로 업데이트해야 합니다.
자동업데이트도 설정을 해두는것이 좋겠죠?
4) 환경설정에서 검색대상 확장자를 지정해줍니다. 웹서버에 따라서 적합한 것을 체크해주세요
5) 검색할 경로를 지정한 후 검사를 시작하면 되겠습니다. 검색된 웹쉘 파일이 있을 경우 파일보기를 하시면 수상한 부분을 표시해주는 것을 보실 수 있을 겁니다.