CN110808997A - 对服务器远程取证的方法、装置、电子设备、及存储介质 - Google Patents

对服务器远程取证的方法、装置、电子设备、及存储介质 Download PDF

Info

Publication number
CN110808997A
CN110808997A CN201911095211.7A CN201911095211A CN110808997A CN 110808997 A CN110808997 A CN 110808997A CN 201911095211 A CN201911095211 A CN 201911095211A CN 110808997 A CN110808997 A CN 110808997A
Authority
CN
China
Prior art keywords
server
trojan
webpage trojan
information
forensics
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911095211.7A
Other languages
English (en)
Other versions
CN110808997B (zh
Inventor
胡付博
周忠义
傅强
刘新鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Eversec Beijing Technology Co Ltd
Original Assignee
Eversec Beijing Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Eversec Beijing Technology Co Ltd filed Critical Eversec Beijing Technology Co Ltd
Priority to CN201911095211.7A priority Critical patent/CN110808997B/zh
Publication of CN110808997A publication Critical patent/CN110808997A/zh
Application granted granted Critical
Publication of CN110808997B publication Critical patent/CN110808997B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本公开实施例公开了一种对服务器远程取证的方法、装置、电子设备、及存储介质,方法包括:获取攻击待取证服务器的网页木马的访问地址和连接密码;根据所述访问地址和所述连接密码主动连接所述网页木马;通过所述网页木马获取所述待取证服务器的预定日志信息;根据所述日志信息提取所述网页木马关联的攻击信息。本公开实施例的技术方案能够在不知道待取证服务器登录信息的情况下,匿名提取待取证服务器的黑客攻击信息。

Description

对服务器远程取证的方法、装置、电子设备、及存储介质
技术领域
本公开实施例涉及信息安全技术领域,具体涉及一种对服务器远程取证的方法、装置、电子设备、及存储介质。
背景技术
服务器取证是指针对计算机入侵与犯罪,进行证据获取、保存、分析。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。从技术上而言。服务器取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。可理解为“从计算机上提取证据”即:获取、保存分析出示提供的证据必须可信。可以用做服务器取证的信息源很多,如系统日志,防火墙与入侵检测系统的工作记录、系统审计记录、网络监控流量、电子邮件、操作系统文件等。
现有的一种远程服务器取证方法基于SSH协议/远程管理服务(Windows remotemanagement)与待取证远程服务器建立会话,然后对待取证服务器进行数据取证。该方法需要远程服务器密码信息,无法达到匿名取证的效果。
发明内容
有鉴于此,本公开实施例提供一种对服务器远程取证的方法、装置、电子设备、及存储介质,以匿名提服务器的黑客攻击信息。
本公开实施例的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开实施例的实践而习得。
第一方面,本公开实施例提供了一种对服务器远程取证的方法,包括:
获取攻击待取证服务器的网页木马的访问地址和连接密码;
根据所述访问地址和所述连接密码主动连接所述网页木马;
通过所述网页木马获取所述待取证服务器的预定日志信息;
根据所述日志信息提取所述网页木马关联的攻击信息。
于一实施例中,通过所述网页木马获取所述待取证服务器的预定日志信息包括:
通过所述网页木马执行预定脚本,以确定所述待取证服务器的中间件类型,以及从所述中间件类型对应的默认日志路径获取所述预定日志信息。
于一实施例中,所述攻击信息包括黑客的真实IP地址和/或黑客的攻击日志记录。
于一实施例中,获取攻击待取证服务器的网页木马的访问地址和连接密码包括:
检测所述待取证服务器的流量数据,判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则,所述网页木马检测规则集中各网页木马检测规则分别用于识别一种文件类型的网页木马;
如果命中则确定检测到网页木马,抓取命中的PCAP包,根据所命中的网页木马检测规则确定所述网页木马的文件类型,以及根据所述PCAP包的数据内容确定所述网页木马的所属家族;
根据所述网页木马的文件类型和所属家族确定所述网页木马的连接密码的位置信息和编码信息,根据所述PCAP包、所述位置信息和所述编码信息获取所述网页木马的连接密码;
根据所述PCAP包的HOST字段的内容和URL字段的内容获取所述网页木马的访问地址。
第二方面,本公开实施例还提供了一种对服务器远程取证的装置,包括:
连接信息获取单元,用于获取攻击待取证服务器的网页木马的访问地址和连接密码;
连接单元,用于根据所述访问地址和所述连接密码主动连接所述网页木马;
日志获取单元,用于通过所述网页木马获取所述待取证服务器的预定日志信息;
攻击信息提取单元,用于根据所述日志信息提取所述网页木马关联的攻击信息。
于一实施例中,所述日志获取单元用于:通过所述网页木马执行预定脚本,以确定所述待取证服务器的中间件类型,以及从所述中间件类型对应的默认日志路径获取所述预定日志信息。
于一实施例中,所述攻击信息包括黑客的真实IP地址和/或黑客的攻击日志记录。
于一实施例中,所述连接信息获取单元包括:
规则匹配子单元,用于检测所述待取证服务器的流量数据,判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则,所述网页木马检测规则集中各网页木马检测规则分别用于识别一种文件类型的网页木马;
所属家族确定子单元,用于如果命中则确定检测到网页木马,抓取命中的PCAP包,根据所命中的网页木马检测规则确定所述网页木马的文件类型,以及根据所述PCAP包的数据内容确定所述网页木马的所属家族;
连接密码获取子单元,用于根据所述网页木马的文件类型和所属家族确定所述网页木马的连接密码的位置信息和编码信息,根据所述PCAP包、所述位置信息和所述编码信息获取所述网页木马的连接密码;
访问地址获取子单元,用于根据所述PCAP包的HOST字段的内容和URL字段的内容获取所述网页木马的访问地址。
第三方面,本公开实施例还提供了一种电子设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如第一方面中任一项所述方法的指令。
第四方面,本公开实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面中任一项所述方法的步骤。
本公开实施例通过获取攻击待取证服务器的网页木马的访问地址和连接密码,据此主动连接所述网页木马获取所述待取证服务器的预定日志信息,提取所述网页木马关联的攻击信息,能够匿名提取待取证服务器的黑客攻击信息。
附图说明
为了更清楚地说明本公开实施例中的技术方案,下面将对本公开实施例描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本公开实施例中的一部分实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据本公开实施例的内容和这些附图获得其他的附图。
图1是本公开实施例提供的一种对服务器远程取证的方法的流程示意图;
图2是本公开实施例提供的另一种对服务器远程取证的方法的流程示意图;
图3是本公开实施例提供的一种对服务器远程取证的装置的结构示意图;
图4是本公开实施例提供的另一种对服务器远程取证的装置的结构示意图;
图5示出了适于用来实现本公开实施例的电子设备的结构示意图。
具体实施方式
为使本公开实施例解决的技术问题、采用的技术方案和达到的技术效果更加清楚,下面将结合附图对本公开实施例的技术方案作进一步的详细描述,显然,所描述的实施例仅仅是本公开实施例中的一部分实施例,而不是全部的实施例。基于本公开实施例中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开实施例保护的范围。
需要说明的是,本公开实施例中术语“系统”和“网络”在本文中常被可互换使用。本公开实施例中提到的“和/或”是指包括一个或更多个相关所列项目的任何和所有组合。本公开的说明书和权利要求书及附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于限定特定顺序。
还需要说明是,本公开实施例中下述各个实施例可以单独执行,各个实施例之间也可以相互结合执行,本公开实施例对此不作具体限制。
本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
下面结合附图并通过具体实施方式来进一步说明本公开实施例的技术方案。
图1示出了本公开实施例提供的一种对服务器远程取证的方法的流程示意图,本实施例可适用于连接网页木马远程获取服务器的预定日志信息,以提取攻击信息的情况,该方法可以由配置于电子设备中的对服务器远程取证的装置来执行,如图1所示,本实施例所述的对服务器远程取证的方法包括:
在步骤S110中,获取攻击待取证服务器的网页木马的访问地址和连接密码。
网页木马(Webshell)是黑客所使用的攻击脚本,黑客控制服务器留下后门之后,常借助网页木马对服务器进行持续的访问和升级。部署成功后入侵者便可通过网站端口对服务器获得某种程度上操作的权限等。
例如可通过深度包检测技术(DPI,Deep Packet Inspection),通过深入读取所述待取证服务器的流量数据,以判断所述流量数据中是否存在具有网页木马特征或网页木马行为特征的可疑数据,以确定所述流量数据中是否存在网页木马。
又如,还可对所述待取证服务器的流量数据进行特征提取,得到流量特征向量,根据预先训练好的深度神经网络模型与机器学习模型分别对所提取的流量特征向量进行检测,以确定是否有网页木马痕迹。
检测到网页木马之后,可进一步获取网页木马的访问地址和连接密码。例如,若存在网页木马,则根据该数据包的内容确定所述网页木马的所属家族,在确定该所属家族的网页木马相关的流量数据的连接密码的偏移位置的前提下,可根据该位置信息从所述数据包中提取该网页木马的连接密码,以及根据所述数据包的HOST字段的内容和URL字段的内容获取所述网页木马的访问地址。
在步骤S120中,根据所述访问地址和所述连接密码主动连接所述网页木马。
在步骤S130中,通过所述网页木马获取所述待取证服务器的预定日志信息。
黑客访问网页木马时会在服务器的日志中留下一些数据提交记录,本步骤即用于提取所述待取证服务器的相关日志信息,以基于此提取网页木马的攻击信息。
例如,可通过所述网页木马执行预定脚本,以确定所述待取证服务器的中间件类型,以及从所述中间件类型对应的默认日志路径获取所述预定日志信息等。
在步骤S140中,根据所述日志信息提取所述网页木马关联的攻击信息。
根据所述日志信息提取所述网页木马对应黑客的真实IP地址、攻击所述待取证服务器的历史痕迹(例如所述黑客的攻击日志记录)等。
本公开实施例通过获取攻击待取证服务器的网页木马的访问地址和连接密码,据此主动连接所述网页木马获取所述待取证服务器的预定日志信息,提取所述网页木马关联的攻击信息,在保证了特定条件下的服务器远程日志取证的同时弥补了需要服务器登录凭证的限制,能够匿名提取待取证服务器的黑客攻击信息。
图2示出了本公开实施例提供的另一种对服务器远程取证的方法的流程示意图,本实施例以前述实施例为基础,进行了改进优化。如图2所示,本实施例所述的对服务器远程取证的方法包括:
在步骤S210中,检测所述待取证服务器的流量数据,判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则,所述网页木马检测规则集中各网页木马检测规则分别用于识别一种文件类型的网页木马。
网页木马是以asp、php、jsp、cgi等文件类型的网页形式存在的一种命令执行环境,也可以称为一种网页后门。
所述流量数据检测方法可包括多种,例如可通过DPI设备检测目标网站的服务器与客户端之间的流量数据。其中,判断所述流量数据是否命中预定的网页木马检测规则包括可包括多种方法,例如可根据所述流量数据中各PCAP包的包头内容是否包含预定语段判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则。
在步骤S220中,如果命中则确定检测到网页木马,抓取命中的PCAP包,根据所命中的网页木马检测规则确定所述网页木马的文件类型,以及根据所述PCAP包的数据内容确定所述网页木马的所属家族。
在步骤S230中,根据所述网页木马的文件类型和所属家族确定所述网页木马的连接密码的位置信息和编码信息,根据所述PCAP包、所述位置信息和所述编码信息获取所述网页木马的连接密码。
本步骤基于,同种文件类型和同种家族的网页木马,其连接密码的存放位置相同。基于此特点,可预先存储各种文件类型、各种所属家族的木马文件的位置信息和编码信息的关联信息。
其中,所述关联信息的获取方式可包括多种,例如可在检测目标网站的服务器与客户端之间的流量数据之前,获取多种木马家族的网页木马样本集,对所述网页木马样本集根据文件类型进行聚类分析得到所述网页木马检测规则集,对各文件类型的网页木马样本集分别根据所属家族进行聚类分析得到文件类型、所属家族、以及连接密码的位置信息和编码信息的关联信息。
基于上述关联信息,所述根据所述网页木马的文件类型和所属家族确定所述网页木马的连接密码的位置信息和编码信息的步骤或包括,从所述关联信息中查询所述网页木马的文件类型和所属家族对应的位置信息和编码信息。
在步骤S240中,根据所述PCAP包的HOST字段的内容和URL字段的内容获取所述网页木马的访问地址。
在步骤S250中,根据所述访问地址和所述连接密码主动连接所述网页木马。
在步骤S260中,通过所述网页木马获取所述待取证服务器的预定日志信息。
在步骤S270中,根据所述日志信息提取所述网页木马关联的攻击信息。
例如,提取黑客的真实IP地址和/或黑客的攻击日志记录。
在上一实施例的基础之上,本实施例进一步公开了获取网页木马的访问地址和连接密码的方法,能够基于该访问地址和连接密码匿名提取待取证服务器的黑客攻击信息。
作为上述各图所示方法的实现,本申请提供了一种对服务器远程取证的装置的一个实施例,图3示出了本实施例提供的一种对服务器远程取证的装置的结构示意图,该装置实施例与图1和图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。如图3所示,本实施例所述的对服务器远程取证的装置包括连接信息获取单元310、连接单元320、日志获取单元330和攻击信息提取单元340。
连接信息获取单元310被配置为,用于获取攻击待取证服务器的网页木马的访问地址和连接密码。
连接单元320被配置为,用于根据所述访问地址和所述连接密码主动连接所述网页木马。
日志获取单元330被配置为,用于通过所述网页木马获取所述待取证服务器的预定日志信息。
攻击信息提取单元340被配置为,用于根据所述日志信息提取所述网页木马关联的攻击信息。
进一步地,所述日志获取单元330被配置为,用于通过所述网页木马执行预定脚本,以确定所述待取证服务器的中间件类型,以及从所述中间件类型对应的默认日志路径获取所述预定日志信息。
进一步地,所述攻击信息包括黑客的真实IP地址和/或黑客的攻击日志记录。
本实施例提供的对服务器远程取证的装置可执行本公开方法实施例所提供的对服务器远程取证的方法,具备执行方法相应的功能模块和有益效果。
图4示出了本公开实施例提供的另一种对服务器远程取证的装置的结构示意图,如图4所示,本实施例所述的对服务器远程取证的装置包括连接信息获取单元410、连接单元420、日志获取单元430和攻击信息提取单元440。
其中所述连接信息获取单元410被配置为,用于根据所述访问地址和所述连接密码主动连接所述网页木马,包括规则匹配子单元411、所属家族确定子单元412、连接密码获取子单元413和访问地址获取子单元414。
所述规则匹配子单元411被配置为,用于检测所述待取证服务器的流量数据,判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则,所述网页木马检测规则集中各网页木马检测规则分别用于识别一种文件类型的网页木马。
所述所属家族确定子单元412被配置为,用于如果命中则确定检测到网页木马,抓取命中的PCAP包,根据所命中的网页木马检测规则确定所述网页木马的文件类型,以及根据所述PCAP包的数据内容确定所述网页木马的所属家族。
所述连接密码获取子单元413被配置为,用于根据所述网页木马的文件类型和所属家族确定所述网页木马的连接密码的位置信息和编码信息,根据所述PCAP包、所述位置信息和所述编码信息获取所述网页木马的连接密码。
所述访问地址获取子单元414被配置为,用于根据所述PCAP包的HOST字段的内容和URL字段的内容获取所述网页木马的访问地址。
所述连接单元420被配置为,用于根据所述访问地址和所述连接密码主动连接所述网页木马。
所述日志获取单元430被配置为,用于通过所述网页木马获取所述待取证服务器的预定日志信息。
所述攻击信息提取单元440被配置为,用于根据所述日志信息提取所述网页木马关联的攻击信息。
于一实施例中,所述日志获取单元430被配置为,用于通过所述网页木马执行预定脚本,以确定所述待取证服务器的中间件类型,以及从所述中间件类型对应的默认日志路径获取所述预定日志信息。
于一实施例中,所述攻击信息包括黑客的真实IP地址和/或黑客的攻击日志记录。
本实施例提供的对服务器远程取证的装置可执行本公开方法实施例所提供的对服务器远程取证的方法,具备执行方法相应的功能模块和有益效果。
下面参考图5,其示出了适于用来实现本公开实施例的电子设备500的结构示意图。本公开实施例中的终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图5示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图5所示,电子设备500可以包括处理装置(例如中央处理器、图形处理器等)501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储装置508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM 503中,还存储有电子设备500操作所需的各种程序和数据。处理装置501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
通常,以下装置可以连接至I/O接口505:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置506;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置507;包括例如磁带、硬盘等的存储装置508;以及通信装置509。通信装置509可以允许电子设备500与其他设备进行无线或有线通信以交换数据。虽然图5示出了具有各种装置的电子设备500,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本公开实施例的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开实施例的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置509从网络上被下载和安装,或者从存储装置508被安装,或者从ROM 502被安装。在该计算机程序被处理装置501执行时,执行本公开实施例的方法中限定的上述功能。
需要说明的是,本公开实施例上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开实施例中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:
获取攻击待取证服务器的网页木马的访问地址和连接密码;
根据所述访问地址和所述连接密码主动连接所述网页木马;
通过所述网页木马获取所述待取证服务器的预定日志信息;
根据所述日志信息提取所述网页木马关联的攻击信息。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开实施例的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开实施例各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元的名称在某种情况下并不构成对该单元本身的限定,例如,第一获取单元还可以被描述为“获取至少两个网际协议地址的单元”。
以上描述仅为本公开实施例的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开实施例中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开实施例中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (7)

1.一种对服务器远程取证的方法,其特征在于,包括:
获取攻击待取证服务器的网页木马的访问地址和连接密码;
根据所述访问地址和所述连接密码主动连接所述网页木马;
通过所述网页木马获取所述待取证服务器的预定日志信息;
根据所述日志信息提取所述网页木马关联的攻击信息。
2.根据权利要求1所述的方法,其特征在于,通过所述网页木马获取所述待取证服务器的预定日志信息包括:
通过所述网页木马执行预定脚本,以确定所述待取证服务器的中间件类型,以及从所述中间件类型对应的默认日志路径获取所述预定日志信息。
3.根据权利要求1所述的方法,其特征在于,所述攻击信息包括黑客的真实IP地址和/或黑客的攻击日志记录。
4.根据权利要求1所述的方法,其特征在于,获取攻击待取证服务器的网页木马的访问地址和连接密码包括:
检测所述待取证服务器的流量数据,判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则,所述网页木马检测规则集中各网页木马检测规则分别用于识别一种文件类型的网页木马;
如果命中则确定检测到网页木马,抓取命中的PCAP包,根据所命中的网页木马检测规则确定所述网页木马的文件类型,以及根据所述PCAP包的数据内容确定所述网页木马的所属家族;
根据所述网页木马的文件类型和所属家族确定所述网页木马的连接密码的位置信息和编码信息,根据所述PCAP包、所述位置信息和所述编码信息获取所述网页木马的连接密码;
根据所述PCAP包的HOST字段的内容和URL字段的内容获取所述网页木马的访问地址。
5.一种对服务器远程取证的装置,其特征在于,包括:
连接信息获取单元,用于获取攻击待取证服务器的网页木马的访问地址和连接密码;
连接单元,用于根据所述访问地址和所述连接密码主动连接所述网页木马;
日志获取单元,用于通过所述网页木马获取所述待取证服务器的预定日志信息;
攻击信息提取单元,用于根据所述日志信息提取所述网页木马关联的攻击信息。
6.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-4中任一项所述方法的指令。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1-4任一项所述方法的步骤。
CN201911095211.7A 2019-11-11 2019-11-11 对服务器远程取证的方法、装置、电子设备、及存储介质 Active CN110808997B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911095211.7A CN110808997B (zh) 2019-11-11 2019-11-11 对服务器远程取证的方法、装置、电子设备、及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911095211.7A CN110808997B (zh) 2019-11-11 2019-11-11 对服务器远程取证的方法、装置、电子设备、及存储介质

Publications (2)

Publication Number Publication Date
CN110808997A true CN110808997A (zh) 2020-02-18
CN110808997B CN110808997B (zh) 2021-09-28

Family

ID=69501987

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911095211.7A Active CN110808997B (zh) 2019-11-11 2019-11-11 对服务器远程取证的方法、装置、电子设备、及存储介质

Country Status (1)

Country Link
CN (1) CN110808997B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112910848A (zh) * 2021-01-15 2021-06-04 深信服科技股份有限公司 一种网页界面的访问方法、装置、电子设备和存储介质
CN113225357A (zh) * 2021-07-08 2021-08-06 北京搜狐新媒体信息技术有限公司 一种网页后门的取证方法和相关装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103532957A (zh) * 2013-10-18 2014-01-22 电子科技大学 一种木马远程shell行为检测装置及方法
CN105024977A (zh) * 2014-04-25 2015-11-04 湖北大学 基于数字水印和蜜罐技术的网络追踪系统
US20160359876A1 (en) * 2015-06-08 2016-12-08 Illusive Networks Ltd. System and method for creation, deployment and management of augmented attacker map
CN107612924A (zh) * 2017-09-30 2018-01-19 北京奇虎科技有限公司 基于无线网络入侵的攻击者定位方法及装置
CN108270722A (zh) * 2016-12-30 2018-07-10 阿里巴巴集团控股有限公司 一种攻击行为检测方法和装置
CN108566377A (zh) * 2018-03-14 2018-09-21 中电和瑞科技有限公司 一种攻击事件取证方法、装置及存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103532957A (zh) * 2013-10-18 2014-01-22 电子科技大学 一种木马远程shell行为检测装置及方法
CN105024977A (zh) * 2014-04-25 2015-11-04 湖北大学 基于数字水印和蜜罐技术的网络追踪系统
US20160359876A1 (en) * 2015-06-08 2016-12-08 Illusive Networks Ltd. System and method for creation, deployment and management of augmented attacker map
CN108270722A (zh) * 2016-12-30 2018-07-10 阿里巴巴集团控股有限公司 一种攻击行为检测方法和装置
CN107612924A (zh) * 2017-09-30 2018-01-19 北京奇虎科技有限公司 基于无线网络入侵的攻击者定位方法及装置
CN108566377A (zh) * 2018-03-14 2018-09-21 中电和瑞科技有限公司 一种攻击事件取证方法、装置及存储介质

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112910848A (zh) * 2021-01-15 2021-06-04 深信服科技股份有限公司 一种网页界面的访问方法、装置、电子设备和存储介质
CN112910848B (zh) * 2021-01-15 2022-11-22 深信服科技股份有限公司 一种网页界面的访问方法、装置、电子设备和存储介质
CN113225357A (zh) * 2021-07-08 2021-08-06 北京搜狐新媒体信息技术有限公司 一种网页后门的取证方法和相关装置

Also Published As

Publication number Publication date
CN110808997B (zh) 2021-09-28

Similar Documents

Publication Publication Date Title
US10666686B1 (en) Virtualized exploit detection system
US10601865B1 (en) Detection of credential spearphishing attacks using email analysis
US9100432B2 (en) Cloud-based distributed denial of service mitigation
US20140380478A1 (en) User centric fraud detection
US9444834B2 (en) Method and system for detecting behavior of remotely intruding into computer
CN111163095B (zh) 网络攻击分析方法、网络攻击分析装置、计算设备和介质
Mistry et al. Signature based volatile memory forensics: a detection based approach for analyzing sophisticated cyber attacks
US11595436B2 (en) Rule-based dynamic security test system
CN110808997B (zh) 对服务器远程取证的方法、装置、电子设备、及存储介质
AU2017265064A1 (en) Access to data on a remote device
US11303670B1 (en) Pre-filtering detection of an injected script on a webpage accessed by a computing device
CN112953896A (zh) 日志报文的回放方法及装置
CN109818972B (zh) 一种工业控制系统信息安全管理方法、装置及电子设备
CN110955890B (zh) 恶意批量访问行为的检测方法、装置和计算机存储介质
CN114169456A (zh) 基于5g终端安全的数据处理方法、装置、设备及介质
CN112134870B (zh) 一种网络安全威胁阻断方法、装置、设备和存储介质
US11356478B2 (en) Phishing protection using cloning detection
US20190327263A1 (en) Distributed client protection
CN110868410B (zh) 获取网页木马连接密码的方法、装置、电子设备、及存储介质
CN116566739A (zh) 一种安全检测系统、电子设备及存储介质
CN115208682B (zh) 一种基于snort的高性能网络攻击特征检测方法及装置
CN111262842B (zh) 网页防篡改方法、装置、电子设备、及存储介质
CN113839912B (zh) 主被动结合进行异常主机分析的方法、装置、介质和设备
CN113691527A (zh) 安全处理方法、装置、电子设备、及存储介质
CN109714371B (zh) 一种工控网络安全检测系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant