'웹쉘 탐지'에 해당되는 글 1

  1. 2010.02.17 Bar4mi WebShell Finder Ver0.3 (14)

Bar4mi WebShell Finder Ver0.3

2010.02.17 11:57 | Posted by bar4mi
'웹 백도어(웹쉘)를 탐지하는 방법'에 대한 문서와 문서에서 제안한 기술적 방안을 구현한 도구(BWSFinder)를 공개합니다.

I published 'How to detect webshell' in Korean and released BWSFinder which is suggested in the document.

'How to detect Webshell Kor' 문서는 악의적인 외·내부자에 의한 웹 백도어를 예방하고 탐지하기 위한 방안을 담고 있습니다. 예방을 위한 관리적 방안으로 버전 관리 시스템과 개발 환경·운영환경의 분리, 역할에 따른 상호 견제를 권고하며, 탐지를 위한 기술적 방안으로 정기적인 파일 목록 감사, 패턴 매칭을 통한 웹 백도어 검출을 권고합니다.

The document describes a methodology to prevent and to detect web backdoors(webshell) by malicious internal and external user. To prevent a web backdoor suggests to apply the version control system,to separate environment into development and operating, to hold each other in check. To detect it suggests regularly to audit file lists and to check files by using malicious string pattern. 

'BWSFinder'는 이식성을 높이기 위해 perl로 제작되었으며, GPLv3 라이센스를 따릅니다. 자유롭게 사용하여 주시기 바랍니다.

BWSFinder is developed using perl and follows GPLv3. I hope that it is useful to make your web service safe.



Comment

  1. armada 2010.02.17 13:08

    드디어 나왔군요. 고생 많으셨습니다. ^^

  2. 뽀빠이 2010.02.17 13:14

    고생했다.

  3. 감사합니다 :)

  4. n0fate 2010.02.17 20:21

    기다렸습니다! 잘 읽겠습니다. 감사합니다 :)

  5. n0fate 2010.02.17 20:54

    문서 잘 보았습니다.(30분만에 또 댓글을 다네요^^;)

    다수의 보안전문가들의 힘으로 지속적인 패턴DB가 추가된다면 큰 효용성을 발휘할 것 같습니다.

    추가적으로 덕분에 잘 모르는 Perl공부도 같이할 수 있을 것 같습니다 :)

  6. hw 2010.02.18 00:32

    역시 멋지십니다 -ㅁ-b armada 선배님은 빠르시네요 ;ㅁ;

  7. 영철 2010.02.18 09:25

    -_-)b

  8. rainysun7 2010.02.18 13:33

    감사합니다. 많은 도움이 될 것 같습니다 ^^

  9. CodeEngn 2010.02.18 15:55

    정말 고생 많으셨어요!!
    잘 써보고 피드백 드리겠습니다 :)

  10. maze76 2010.03.09 19:10

    윈도우에서 돌리기 위해 activeperl 설치 후 perl2exe를 다운 받아 실행했습니다. Warning: Can't locate Digest/Perl.MD5.pm at C:\Perl\lib\Digest\MD5.pm line 30 @INC = C:\Perl\site\lib, C:\Perl\lib, . 라는 메시지 출력 후 정상적으로 compile이 안됩니다 왜 그럴까요? ;ㅁ;

  11. maze76 2010.03.17 18:15

    알고보니 압축 문제였습니다. 압축 프로그램 버전이 낮아 bwsfinder 단일파일로 압축이 풀리더군요. 아. 그리고 asp.dat에서 탐지패턴이 문제가 있는지 -t asp 옵션에서 정상 동작하지 않습니다.
    #M:Execute Session:execute *\(? *session
    #M:Execute Request:execute *\(? *request
    #M:Eval Request:eval *\(? *request
    #M:Common Pattern:execute *\(? *session
    이 4개 라인이고 *\(? 이부분이 문제가 되는듯 합니다.

  12. 감사합니다. PHP 쪽만 고려하여 제작하고 asp, jsp 쪽은 패턴만 급하게 추가를 했더니 그런 문제가 생겼습니다. ^^; 피드백을 해주셔서 정말 감사합니다. 저도 이번에 asp 쪽으로 검증할 필요가 있어서 해당 프로그램을 돌려봤는데 많은 문제점들이 보였습니다 Orz 단순히 기능만 고려해서 작성을 했더니 성능이나 여러가지가 문제가 되는 것을 발견했습니다. 특히 Debug 옵션을 활성화해서 배포한 것도 그렇구요 ^^; 조만간 개선해서 보다 나은 모습으로 배포할 수 있도록 하겠습니다. 감사합니다.

  13. n4ru 2011.02.16 09:58

    써보고 피드백 드리겠습니다 :)

  14. Selon un communiqué de presse de l'organisateur chilien du Dakar-2011, http://www.moncleroutletespain.com/ moncler chaquetas, deux hommes travaillant en marge du rallye sont morts à la suite d'accidents au Chili, http://www.moncleroutletespain.com/ moncler españa. L'un est décédé jeudi à Copiapo (centre du Chili) où la course se rendra mardi, http://www.moncleroutletespain.com/ moncler online, lorsqu'une structure métallique soutenant une banderole de bienvenue est tombée sur un cable à haute tension, http://www.moncleroutletespain.com/ http://www.moncleroutletespain.com/. L'autre a été victime d'une décharge électrique mortelle hier à Arica (nord), http://www.moncleroutletespain.com/ moncler outlet, où la course vient d'arriver, http://www.moncleroutletespain.com/ moncler. Sport France-Brésil: la liste des Bleus le 3 février Sport JO-2018: Charles Beigbeder président du Comité de candidature d'AnnecyRelated articles:


    http://mysna.tistory.com/20?_top_tistory=new_title http://mysna.tistory.com/20?_top_tistory=new_title

    http://jonyjung.tistory.com/323 http://jonyjung.tistory.com/323

이전 1 다음