VR/WAF Part
웹서버 백업 진행 (제일 먼저 수행)
웹루트 부터 찾아서 기록 후 웹루트 따로 백업(rsync → backup server)웹 서버의 경우 / (root dir) 하위 모든 경로 백업 진행
- (ing) 웹서비스 정보 / 웹루트 찾아서 기록 (백업 이후 진행)
- 웹서비스 구현 언어
- WEB/WAS 정보
- Listening port
- 웹루트
- dockerizing 여부
- credentials
- DB 서버 정보 / port / DB Credential 확인
- (리눅스) 서비스 및 기타 계정들 확인
- ..생각나면 더 추가예정..
- (todo) 웹서버 restarting bash script 작성 / 테스트
- (todo) WAF/Tools 구동 및 테스트
- waf - 웹서버별로 WAF 적용할 수 있게 nginx conf 수정/작성
waf - 올리고 waf 잘 탐지되는지 확인
- monitoring viewer에 추가로 디코 웹훅 ㄱㄱ?
- auditd - 웹루트 / 주요 경로들 rule 추가
- auditd - user whitelist rule 추가
- socks proxy detection - 테스트 필요
- ↑ 위에것들 다 ansible 개발 필요
- 추가 개발/수정 고려할것들? (작성하다보니 떠오름)
- auditd file r/w에 user-home/.ssh 도 추가?
- 특정 경로만 file r/w 추적하는게 아니라 전체 추적?
- noti spamming이 되긴 하는데 뭔가 확실히 이상행위는 식별 잘됐긴했음(작년기준)
- 악성행위 아닌 파일/경로들 일일히 whitelist 추가 해줬었음
- 고려해보기..
- ..생각나면 더 추가예정..
- (ing) 취약점 분석 / 패치 작성 / 패치 적용 테스트
- 2인 1조로 자산들 맡아 취약점 분석 진행
- web vuln
- configuration vuln
- credential exposure
- open source 1-day vulns
- backdoor / rootkit (없을 수도 있지만 일단 확인)
-
- 취약점 패치
- patcher 구현.. (go로짰던거 유기)
- patcher에 작성한 패치들 넣어놓기
- ansible로 작성
- (ing) 백도어/루트킷 확인
- 웹서비스 정상 구동 확인 및 재부팅 후 웹서버 구동/정상 구동 재확인 (여유되면 해보기)
- 웹 서버들은 in-memory malware, persistence 갖춰지지 않은 malware들 종료를 위해 재부팅하기로함
- 웹서비스 정상적으로 돌아가는지 우선 확인
- 재부팅하는데에 걸리는 시간도 체크하고 재부팅 후 웹서버 올렸을 때 정상 작동 되는지 확인
- 만약 정상작동 안되면 revert 후 문제점 파악해서 해결 후 재시도
- DMZ window server 확인
- 백업 필요한것들 백업하고 어떤서비스인지 확인
- 취약점 분석 / 패치 작성 / 패치 적용 테스트
(필요시) waf 적용
- (네트워크-방화벽 적용 후) waf/tool 정상구동 확인
BAF/BEG/BPS
- (서버 열리자마자) 각자 담당 자산 중요 파일 개인 PC에 백업 진행
- 긴급 복구가 필요할 시 개인 PC에서 바로 복구하기 위함 + 이중화/삼중화 백업 고려
- 중요파일이란?
- 웹루트 하위 웹 소스코드
- 웹 서버 설정 파일
- 데이터베이스 설정 파일
- 데이터베이스 테이블 백업 (추후 migration 할 수 있게)
- 등등..
- 담당 자산 접속 방법 숙지
- C/S팀에서 하드닝 이후 SSH Key 혹은 바꾼 비밀번호로 접속할 수 있도록 할 것으로 예상
- 해당 접속 방법(키, 비밀번호) 숙지