本申请公开了一种检测反弹shell攻击的方法、装置及介质,涉及计算机技术领域,为了提高检测反弹shell进程的准确率,本申请提供的检测反弹shell攻击的方法,若文件描述符连接至远程套接字或文件描述符通过管道连接至远程套接字,标记为可疑shell进程,并对可疑shell进程做进一步数据分析,判断其是否存在异常,通过多重筛选,提高了检测反弹shell的精准率,避免了仅通过判断文件描述符重定向到远程套接字,将其判定为反弹shell,导致通过管道隐藏套接字的反弹shell进程没有被检测出来的问题。题。题。
【技术实现步骤摘要】
一种检测反弹shell攻击的方法、装置及介质
[0001]本申请涉及计算机
,特别是涉及一种检测反弹shell攻击的方法、装置及介质。
技术介绍
[0002]在被控端因防火墙受限、权限不足、端口被占用的情况下,黑客常常利用反弹shell来使被入侵主机反向连接自己的入侵主机,通过重定向标准输入输出的技术进行远程操控。在Linux系统中,文件描述符可以理解为系统跟踪打开文件而分配的一个数字句柄,这个数字本质上是一个文件句柄,通过句柄就可以实现文件的读写操作。进程启动后再打开新的文件,描述符会自动依次增加。每一个新进程都会继承其父进程的文件描述符,因此所有的shell命令,都会默认有三个文件描述符,即标准输入、标准输出、标准错误输出描述符。shell位于操作系统和应用程序之间,是他们二者的接口,其主要负责把应用程序的输入命令信息解释给操作系统,将操作系统指令处理后的结果解释给应用程序。并且shell提供了用户交互的能力,其本质是一个命令解释器。Linux支持将标准的输入输出重新指定到其他文件、socket号或者pipe管道上,而反弹shell命令就是通过利用重定向标准输入输出,实现对被控端的远程控制。能够实现反弹shell的方法多种多样,但最终都会通过socket或pipe外联到入侵主机。
[0003]现有的,为了避免主机被远程控制,监听文件进程并判断对应的文件描述符是否重定向到套接字,若当前文件描述符重定向到套接字后,判定其为反弹shell,由于目前有很多反弹shell的技术能够隐藏套接字的连接,比如使用先实现一层管道连接,从而将文件描述符中的套接字隐藏。在此种情况下,将无法成功检测到反弹shell进程。
[0004]由此可见,如何提高检测反弹shell进程的准确率,是本领域人员亟待解决的技术问题。
技术实现思路
[0005]本申请的目的是提供一种提高检测反弹shell进程的准确率的检测反弹shell攻击的方法。
[0006]为解决上述技术问题,本申请提供一种检测反弹shell攻击的方法,包括:
[0007]捕获用户进程并筛选出待测shell进程;
[0008]根据所述待测shell进程中的文件描述符筛选满足预设条件的所述待测shell进程,标记为可疑shell进程,其中,所述预设条件为所述文件描述符连接至远程套接字或所述文件描述符通过管道连接至所述远程套接字;
[0009]分析所述可疑shell进程是否存在异常;
[0010]若是,将当前所述可疑shell进程标记为反弹shell进程。
[0011]优选地,所述的检测反弹shell攻击的方法,所述根据所述待测shell进程中的文件描述符筛选满足预设条件的所述待测shell进程,标记为可疑shell进程,包括:
[0012]判断所述文件描述符是否通过套接字连接;
[0013]若所述文件描述符通过套接字连接,判断所述文件描述符是否被重定向到了所述远程套接字;
[0014]若所述文件描述符被重定向到了所述远程套接字,将当前所述待测shell进程标记为可疑shell进程;
[0015]若所述文件描述符没有通过套接字连接,判断所述文件描述符是否通过一层管道连接;
[0016]若所述文件描述符通过所述管道连接,进入所述判断所述文件描述符是否被重定向到了所述远程套接字的步骤;
[0017]若所述文件描述符没有通过所述管道连接,判断所述文件描述符是否通过另一所述管道连接;
[0018]若所述文件描述符通过另一所述管道连接,则将当前所述待测shell进程标记为所述可疑shell进程。
[0019]优选地,所述的检测反弹shell攻击的方法,所述分析所述可疑shell进程是否存在异常,包括:
[0020]分析所述可疑shell进程中传输的流量是否包含预设数据信息、或所述可疑shell进程执行的命令中是否包含违规指令、或所述可疑shell进程是否违规操作重要文件或者生成恶意文件;
[0021]若是,进入所述将当前所述可疑shell进程标记为反弹shell进程的步骤。
[0022]优选地,所述的检测反弹shell攻击的方法,所述捕获用户进程并筛选出待测shell进程,包括:
[0023]遍历proc文件夹中的进程;
[0024]判断所述进程是否为shell进程;
[0025]若是,判断所述shell进程的进程名是否与预设shell进程名一致;
[0026]若是,将当前所述shell进程标记为待测shell进程。
[0027]优选地,所述的检测反弹shell攻击的方法,所述将当前所述可疑shell进程标记为反弹shell进程之后,还包括:
[0028]通过日志系统上报所述反弹shell进程信息,清除所述反弹shell进程与所述反弹shell进程相关的其他进程,并清除由所述反弹shell进程生成的文件。
[0029]优选地,所述的检测反弹shell攻击的方法,所述管道包括:匿名管道和管道文件。
[0030]优选地,所述的检测反弹shell攻击的方法,所述文件描述符包括:标准输入描述符和标准输出描述符。
[0031]为解决上述技术问题,本申请还提供一种检测反弹shell攻击的装置,包括:
[0032]筛选模块,用于捕获用户进程并筛选出待测shell进程;
[0033]判断模块,用于根据所述待测shell进程中的文件描述符筛选满足预设条件的所述待测shell进程,标记为可疑shell进程,其中,所述预设条件为所述文件描述符连接至远程套接字或所述文件描述符通过管道连接至所述远程套接字;
[0034]分析模块,用于分析所述可疑shell进程是否存在异常;若是,触发标记模块;
[0035]所述标记模块,用于将当前所述可疑shell进程标记为反弹shell进程。
[0036]为解决上述技术问题,本申请还提供一种检测反弹shell攻击的装置,包括:
[0037]存储器,用于存储计算机程序;
[0038]处理器,用于执行所述计算机程序时实现所述的检测反弹shell攻击的方法的步骤。
[0039]为解决上述技术问题,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现所述的检测反弹shell攻击的方法的步骤。
[0040]本申请所提供的一种检测反弹shell攻击的方法,包括:捕获用户进程并筛选出待测shell进程;根据待测shell进程中的文件描述符筛选满足预设条件的待测shell进程,标记为可疑shell进程,其中,预设条件为文件描述符连接至远程套接字或文件描述符通过管道连接至远程套接字;分析可疑shell进程是否存在异常;若是,将当前可疑shell进程标记为反弹shell进程。本申请提供的检测反弹shell攻击的方法,若文件描述符连接至远程套接字或文件描述符通过管道连接至远本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种检测反弹shell攻击的方法,其特征在于,包括:捕获用户进程并筛选出待测shell进程;根据所述待测shell进程中的文件描述符筛选满足预设条件的所述待测shell进程,标记为可疑shell进程,其中,所述预设条件为所述文件描述符连接至远程套接字或所述文件描述符通过管道连接至所述远程套接字;分析所述可疑shell进程是否存在异常;若是,将当前所述可疑shell进程标记为反弹shell进程。2.根据权利要求1所述的检测反弹shell攻击的方法,其特征在于,所述根据所述待测shell进程中的文件描述符筛选满足预设条件的所述待测shell进程,标记为可疑shell进程,包括:判断所述文件描述符是否通过套接字连接;若所述文件描述符通过套接字连接,判断所述文件描述符是否被重定向到了所述远程套接字;若所述文件描述符被重定向到了所述远程套接字,将当前所述待测shell进程标记为可疑shell进程;若所述文件描述符没有通过套接字连接,判断所述文件描述符是否通过一层管道连接;若所述文件描述符通过所述管道连接,进入所述判断所述文件描述符是否被重定向到了所述远程套接字的步骤;若所述文件描述符没有通过所述管道连接,判断所述文件描述符是否通过另一所述管道连接;若所述文件描述符通过另一所述管道连接,则将当前所述待测shell进程标记为所述可疑shell进程。3.根据权利要求2所述的检测反弹shell攻击的方法,其特征在于,所述分析所述可疑shell进程是否存在异常,包括:分析所述可疑shell进程中传输的流量是否包含预设数据信息、或所述可疑shell进程执行的命令中是否包含违规指令、或所述可疑shell进程是否违规操作重要文件或者生成恶意文件;若是,进入所述将当前所述可疑shell进程标记为反弹shell进程的步骤。4.根据权利要求2所述的检测反弹shell攻击的方法,其特征在于,所述捕获用...
【专利技术属性】
技术研发人员:徐扬赫,胡涛涛,许仁浩,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。