You are here:--Web site 위변조 탐지 방법

Web site 위변조 탐지 방법

PLURA 서비스는 Web site 위변조를 탐지 할 수 있습니다.

 

Web site 변조 탐지 방법

1. 리눅스에서 탐지 방법

먼저 Auditlog를 설치해 주셔야 합니다. (바로가기)

설치가 되었다면 아래 명령어를 실행해 주세요.

auditctl -w [웹페이지 경로를 입력함] -p wa -k WebForgery

           (예제) # auditctl -w /var/www/html/wordpress/index.php -p wa -k WebForgery

Web site 에 변조가 진행되면 아래와 같이 실시간으로 탐지합니다.

2. 윈도우에서 탐지 방법

먼저 해당 파일에 아래와 같이 감사 설정을 해 주셔야 합니다.

해당 웹페이지 파일(우클릭) > 속성 > 보안 > 고급 > 감사 > 추가 > 보안주체 > 관리자 계정(administrator) > 고급권한표시 > 삭제 > 체크 > 확인 > 적용

– 감사 설정하신 후 필터를 등록해야 합니다.

[필터등록]

서버 그룹 해당 서버가 등록된 그룹 (지정하지 않았다면 DEFAULT 선택)
운영체제 windows
채널 Security
분류 개체 액세스
이벤트타입 4663
서버목록 필터링을 원하는 서버 선택 (서버목록전체 권장)
필터이름 Web site 위변조
필터레벨 높음
데이터유형 선택 ObjectName
데이터값 해당 웹페이지 경로를 입력함

예제)*C:\inetpub\wwwroot\wordpress\index.php*

데이터유형 선택 AccessList
데이터값 *1537*

 

Web site에 변조가 진행되면 아래와 같이 실시간으로 탐지합니다.

3. 윈도우 SYSMON에서 탐지 방법

먼저 Sysmon을 설치해 주셔야 합니다.(바로가기)

– Sysmon 설치하신 후 필터를 등록해야 합니다.55

[필터등록]

서버 그룹 해당 서버가 등록된 그룹 (지정하지 않았다면 DEFAULT 선택)
운영체제 windows
채널 Sysmon
이벤트타입 1
서버목록 필터링을 원하는 서버 선택 (서버목록전체 권장)
필터이름 Web site 위변조
필터레벨 높음
데이터유형 선택 CommandLine
데이터값 해당 웹페이지 경로를 입력함

예제)*C:\inetpub\wwwroot\wordpress\index.php*

 

Webpage에 변조가 진행되면 아래와 같이 실시간으로 탐지합니다.(감사 설정 필요 없음)

By |2018-09-04T15:52:33+00:008월 23rd, 2018|Categories: Tech|0 Comments

About the Author: