PLURA 서비스는 Web site 위변조를 탐지 할 수 있습니다.
Web site 변조 탐지 방법
1. 리눅스에서 탐지 방법
먼저 Auditlog를 설치해 주셔야 합니다. (바로가기)
설치가 되었다면 아래 명령어를 실행해 주세요.
auditctl -w [웹페이지 경로를 입력함] -p wa -k WebForgery
(예제) # auditctl -w /var/www/html/wordpress/index.php -p wa -k WebForgery
Web site 에 변조가 진행되면 아래와 같이 실시간으로 탐지합니다.
2. 윈도우에서 탐지 방법
먼저 해당 파일에 아래와 같이 감사 설정을 해 주셔야 합니다.
해당 웹페이지 파일(우클릭) > 속성 > 보안 > 고급 > 감사 > 추가 > 보안주체 > 관리자 계정(administrator) > 고급권한표시 > 삭제 > 체크 > 확인 > 적용
– 감사 설정하신 후 필터를 등록해야 합니다.
[필터등록]
| 서버 그룹 | 해당 서버가 등록된 그룹 (지정하지 않았다면 DEFAULT 선택) |
| 운영체제 | windows |
| 채널 | Security |
| 분류 | 개체 액세스 |
| 이벤트타입 | 4663 |
| 서버목록 | 필터링을 원하는 서버 선택 (서버목록전체 권장) |
| 필터이름 | Web site 위변조 |
| 필터레벨 | 높음 |
| 데이터유형 선택 | ObjectName |
| 데이터값 | 해당 웹페이지 경로를 입력함
예제)*C:\inetpub\wwwroot\wordpress\index.php* |
| 데이터유형 선택 | AccessList |
| 데이터값 | *1537* |
Web site에 변조가 진행되면 아래와 같이 실시간으로 탐지합니다.
3. 윈도우 SYSMON에서 탐지 방법
먼저 Sysmon을 설치해 주셔야 합니다.(바로가기)
– Sysmon 설치하신 후 필터를 등록해야 합니다.55
[필터등록]
| 서버 그룹 | 해당 서버가 등록된 그룹 (지정하지 않았다면 DEFAULT 선택) |
| 운영체제 | windows |
| 채널 | Sysmon |
| 이벤트타입 | 1 |
| 서버목록 | 필터링을 원하는 서버 선택 (서버목록전체 권장) |
| 필터이름 | Web site 위변조 |
| 필터레벨 | 높음 |
| 데이터유형 선택 | CommandLine |
| 데이터값 | 해당 웹페이지 경로를 입력함
예제)*C:\inetpub\wwwroot\wordpress\index.php* |
Webpage에 변조가 진행되면 아래와 같이 실시간으로 탐지합니다.(감사 설정 필요 없음)
