백신 관리 서버 취약점 조치 안내
Contents
○ 백신관리서버 운영체제 별로 다음 쿼리문을 실행하여 점검합니다.
○ 백신 관리 콘솔 '사용자 정의보고서' 기능을 이용하여 아래 쿼리문을 실행합니다.
<리눅스 서버>
SELECT * FROM tbDataLog WHERE msg LIKE '프로그램%' AND (LOWER(msg) LIKE '%powershell%' OR LOWER(msg) LIKE '%cmd%' OR LOWER(msg) LIKE '%https://%' OR LOWER(msg) LIKE '%https://%' OR LOWER(msg) LIKE '%taskcm%' OR LOWER(msg) LIKE '%winhost%' OR LOWER(msg) LIKE '%mshta%');
<윈도우 서버>
SELECT * FROM VMSLog.dbo.tbDataLog WHERE msg LIKE '프로그램%' AND (LOWER(msg) LIKE '%powershell%' ORLOWER(msg) LIKE '%cmd%' OR LOWER(msg) LIKE '%https://%' OR LOWER(msg) LIKE '%https://%' OR LOWER(msg) LIKE '%taskcm%' OR LOWER(msg) LIKE '%winhost%' OR LOWER(msg) LIKE '%mshta%');
○ 백신관리서버 운영체제 방화벽에서 차단합니다.
→ 리눅스 서버일 경우 : 제공되는 스크립트 파일을 실행하여 차단
- 대상 운영체제 : CentOS 6, CentOS 7, Rocky 8,9, Ubuntu 20.X~
- 다운로드 받은 스크립트 tar 파일을 압축 해제 후 다음 명령으로 차단/허용
PortDeny.sh deny 18607
PortDeny.sh allow 18607
- 리눅스 스크립트 파일 다운로드 : PortDeny.sh.tar
→ 윈도우 서버일 경우 :윈도우 서버 방화벽 설정에서 18607번 포트 차단
위와 같이 18607번을 차단하면 백신 관리 콘솔 …
○ 백신 관리 콘솔 '사용자 정의보고서' 기능을 이용하여 아래 쿼리문을 실행합니다.
<리눅스 서버>
SELECT * FROM tbDataLog WHERE msg LIKE '프로그램%' AND (LOWER(msg) LIKE '%powershell%' OR LOWER(msg) LIKE '%cmd%' OR LOWER(msg) LIKE '%https://%' OR LOWER(msg) LIKE '%https://%' OR LOWER(msg) LIKE '%taskcm%' OR LOWER(msg) LIKE '%winhost%' OR LOWER(msg) LIKE '%mshta%');
<윈도우 서버>
SELECT * FROM VMSLog.dbo.tbDataLog WHERE msg LIKE '프로그램%' AND (LOWER(msg) LIKE '%powershell%' ORLOWER(msg) LIKE '%cmd%' OR LOWER(msg) LIKE '%https://%' OR LOWER(msg) LIKE '%https://%' OR LOWER(msg) LIKE '%taskcm%' OR LOWER(msg) LIKE '%winhost%' OR LOWER(msg) LIKE '%mshta%');
○ 백신관리서버 운영체제 방화벽에서 차단합니다.
→ 리눅스 서버일 경우 : 제공되는 스크립트 파일을 실행하여 차단
- 대상 운영체제 : CentOS 6, CentOS 7, Rocky 8,9, Ubuntu 20.X~
- 다운로드 받은 스크립트 tar 파일을 압축 해제 후 다음 명령으로 차단/허용
PortDeny.sh deny 18607
PortDeny.sh allow 18607
- 리눅스 스크립트 파일 다운로드 : PortDeny.sh.tar
→ 윈도우 서버일 경우 :윈도우 서버 방화벽 설정에서 18607번 포트 차단
위와 같이 18607번을 차단하면 백신 관리 콘솔 …