本公开实施例公开了一种对服务器远程取证的方法、装置、电子设备、及存储介质,方法包括:获取攻击待取证服务器的网页木马的访问地址和连接密码;根据所述访问地址和所述连接密码主动连接所述网页木马;通过所述网页木马获取所述待取证服务器的预定日志信息;根据所述日志信息提取所述网页木马关联的攻击信息。本公开实施例的技术方案能够在不知道待取证服务器登录信息的情况下,匿名提取待取证服务器的黑客攻击信息。
Methods, devices, electronic devices, and storage media for remote forensics of servers
【技术实现步骤摘要】
对服务器远程取证的方法、装置、电子设备、及存储介质
本公开实施例涉及信息安全
,具体涉及一种对服务器远程取证的方法、装置、电子设备、及存储介质。
技术介绍
服务器取证是指针对计算机入侵与犯罪,进行证据获取、保存、分析。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。从技术上而言。服务器取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。可理解为“从计算机上提取证据”即:获取、保存分析出示提供的证据必须可信。可以用做服务器取证的信息源很多,如系统日志,防火墙与入侵检测系统的工作记录、系统审计记录、网络监控流量、电子邮件、操作系统文件等。现有的一种远程服务器取证方法基于SSH协议/远程管理服务(Windowsremotemanagement)与待取证远程服务器建立会话,然后对待取证服务器进行数据取证。该方法需要远程服务器密码信息,无法达到匿名取证的效果。
技术实现思路
有鉴于此,本公开实施例提供一种对服务器远程取证的方法、装置、电子设备、及存储介质,以匿名提服务器的黑客攻击信息。本公开实施例的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开实施例的实践而习得。第一方面,本公开实施例提供了一种对服务器远程取证的方法,包括:获取攻击待取证服务器的网页木马的访问地址和连接密码;根据所述访问地址和所述连接密码主动连接所述网页木马;通过所述网页木马获取所述待取证服务器的预定日志信息;根据所述日志信息提取所述网页木马关联的攻击信息。于一实施例中,通过所述网页木马获取所述待取证服务器的预定日志信息包括:通过所述网页木马执行预定脚本,以确定所述待取证服务器的中间件类型,以及从所述中间件类型对应的默认日志路径获取所述预定日志信息。于一实施例中,所述攻击信息包括黑客的真实IP地址和/或黑客的攻击日志记录。于一实施例中,获取攻击待取证服务器的网页木马的访问地址和连接密码包括:检测所述待取证服务器的流量数据,判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则,所述网页木马检测规则集中各网页木马检测规则分别用于识别一种文件类型的网页木马;如果命中则确定检测到网页木马,抓取命中的PCAP包,根据所命中的网页木马检测规则确定所述网页木马的文件类型,以及根据所述PCAP包的数据内容确定所述网页木马的所属家族;根据所述网页木马的文件类型和所属家族确定所述网页木马的连接密码的位置信息和编码信息,根据所述PCAP包、所述位置信息和所述编码信息获取所述网页木马的连接密码;根据所述PCAP包的HOST字段的内容和URL字段的内容获取所述网页木马的访问地址。第二方面,本公开实施例还提供了一种对服务器远程取证的装置,包括:连接信息获取单元,用于获取攻击待取证服务器的网页木马的访问地址和连接密码;连接单元,用于根据所述访问地址和所述连接密码主动连接所述网页木马;日志获取单元,用于通过所述网页木马获取所述待取证服务器的预定日志信息;攻击信息提取单元,用于根据所述日志信息提取所述网页木马关联的攻击信息。于一实施例中,所述日志获取单元用于:通过所述网页木马执行预定脚本,以确定所述待取证服务器的中间件类型,以及从所述中间件类型对应的默认日志路径获取所述预定日志信息。于一实施例中,所述攻击信息包括黑客的真实IP地址和/或黑客的攻击日志记录。于一实施例中,所述连接信息获取单元包括:规则匹配子单元,用于检测所述待取证服务器的流量数据,判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则,所述网页木马检测规则集中各网页木马检测规则分别用于识别一种文件类型的网页木马;所属家族确定子单元,用于如果命中则确定检测到网页木马,抓取命中的PCAP包,根据所命中的网页木马检测规则确定所述网页木马的文件类型,以及根据所述PCAP包的数据内容确定所述网页木马的所属家族;连接密码获取子单元,用于根据所述网页木马的文件类型和所属家族确定所述网页木马的连接密码的位置信息和编码信息,根据所述PCAP包、所述位置信息和所述编码信息获取所述网页木马的连接密码;访问地址获取子单元,用于根据所述PCAP包的HOST字段的内容和URL字段的内容获取所述网页木马的访问地址。第三方面,本公开实施例还提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序;当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如第一方面中任一项所述方法的指令。第四方面,本公开实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面中任一项所述方法的步骤。本公开实施例通过获取攻击待取证服务器的网页木马的访问地址和连接密码,据此主动连接所述网页木马获取所述待取证服务器的预定日志信息,提取所述网页木马关联的攻击信息,能够匿名提取待取证服务器的黑客攻击信息。附图说明为了更清楚地说明本公开实施例中的技术方案,下面将对本公开实施例描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本公开实施例中的一部分实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据本公开实施例的内容和这些附图获得其他的附图。图1是本公开实施例提供的一种对服务器远程取证的方法的流程示意图;图2是本公开实施例提供的另一种对服务器远程取证的方法的流程示意图;图3是本公开实施例提供的一种对服务器远程取证的装置的结构示意图;图4是本公开实施例提供的另一种对服务器远程取证的装置的结构示意图;图5示出了适于用来实现本公开实施例的电子设备的结构示意图。具体实施方式为使本公开实施例解决的技术问题、采用的技术方案和达到的技术效果更加清楚,下面将结合附图对本公开实施例的技术方案作进一步的详细描述,显然,所描述的实施例仅仅是本公开实施例中的一部分实施例,而不是全部的实施例。基于本公开实施例中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开实施例保护的范围。需要说明的是,本公开实施例中术语“系统”和“网络”在本文中常被可互换使用。本公开实施例中提到的“和/或”是指包括一个或更多个相关所列项目的任何和所有组合。本公开的说明书和权利要求书及附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于限定特定顺序。还需要说明是,本公开实施例中下述各个实施例可以单独执行,各个实施例之间也可以相互结合执行,本公开实施例对此不作具体限制。本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。下面结合附图并通过具体实施方式本文档来自技高网...
【技术保护点】
1.一种对服务器远程取证的方法,其特征在于,包括:/n获取攻击待取证服务器的网页木马的访问地址和连接密码;/n根据所述访问地址和所述连接密码主动连接所述网页木马;/n通过所述网页木马获取所述待取证服务器的预定日志信息;/n根据所述日志信息提取所述网页木马关联的攻击信息。/n
【技术特征摘要】
1.一种对服务器远程取证的方法,其特征在于,包括:
获取攻击待取证服务器的网页木马的访问地址和连接密码;
根据所述访问地址和所述连接密码主动连接所述网页木马;
通过所述网页木马获取所述待取证服务器的预定日志信息;
根据所述日志信息提取所述网页木马关联的攻击信息。
2.根据权利要求1所述的方法,其特征在于,通过所述网页木马获取所述待取证服务器的预定日志信息包括:
通过所述网页木马执行预定脚本,以确定所述待取证服务器的中间件类型,以及从所述中间件类型对应的默认日志路径获取所述预定日志信息。
3.根据权利要求1所述的方法,其特征在于,所述攻击信息包括黑客的真实IP地址和/或黑客的攻击日志记录。
4.根据权利要求1所述的方法,其特征在于,获取攻击待取证服务器的网页木马的访问地址和连接密码包括:
检测所述待取证服务器的流量数据,判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则,所述网页木马检测规则集中各网页木马检测规则分别用于识别一种文件类型的网页木马;
如果命中则确定检测到网页木马,抓取命中的PCAP包,根据所命中的网页木马检测规则确定所述网页木马的文件类型,以及根...
【专利技术属性】
技术研发人员:胡付博,周忠义,傅强,刘新鹏,
申请(专利权)人:恒安嘉新北京科技股份公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。