CN114915473A - 一种服务器入侵处理方法及相关装置 - Google Patents
一种服务器入侵处理方法及相关装置 Download PDFInfo
- Publication number
- CN114915473A CN114915473A CN202210537899.5A CN202210537899A CN114915473A CN 114915473 A CN114915473 A CN 114915473A CN 202210537899 A CN202210537899 A CN 202210537899A CN 114915473 A CN114915473 A CN 114915473A
- Authority
- CN
- China
- Prior art keywords
- server
- file
- determining
- target items
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 15
- 238000000034 method Methods 0.000 claims abstract description 149
- 230000008569 process Effects 0.000 claims abstract description 71
- 230000002159 abnormal effect Effects 0.000 claims abstract description 64
- 230000008439 repair process Effects 0.000 claims abstract description 21
- 238000012545 processing Methods 0.000 claims description 119
- 230000000903 blocking effect Effects 0.000 claims description 28
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 15
- 230000005856 abnormality Effects 0.000 claims description 10
- 230000000149 penetrating effect Effects 0.000 claims description 8
- 230000002547 anomalous effect Effects 0.000 claims description 2
- 238000012544 monitoring process Methods 0.000 abstract description 13
- 238000012423 maintenance Methods 0.000 abstract description 12
- 238000004891 communication Methods 0.000 description 12
- 230000006399 behavior Effects 0.000 description 10
- 230000006870 function Effects 0.000 description 8
- 230000035515 penetration Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000009545 invasion Effects 0.000 description 6
- 230000008878 coupling Effects 0.000 description 5
- 238000010168 coupling process Methods 0.000 description 5
- 238000005859 coupling reaction Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000012937 correction Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000011835 investigation Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000007639 printing Methods 0.000 description 2
- 239000000523 sample Substances 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 208000033748 Device issues Diseases 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005422 blasting Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 239000012466 permeate Substances 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
提供一种服务器入侵处理方法及相关装置,涉及信息安全领域,该方法包括:基于对服务器的监控得到的数据确定如下至少一项存在异常:日志、用户名及密码、文件、端口和进程;在确定一个或多个目标项存在异常时,基于预定义的多个目标项与多个计数值的对应关系,将每个目标项对应的计数值累加至该服务器对应的计数值上;在该服务器对应的计数值落入预定义的计数范围时,基于预定义的多个风险级别与多个计数范围的对应关系确定该服务器被入侵的风险级别,进而确定该风险级别对应的修复方式。因此,通过自动对服务器进行监控,可以及时发现服务器异常并确定修复方法,减少人工运维成本。
Description
技术领域
本申请涉及信息安全领域,尤其涉及一种服务器入侵处理方法及相关装置。
背景技术
随着互联网技术飞速发展,针对服务器的攻击手段也层出不穷,服务器的安全面临着越来越严峻的挑战。目前针对服务器的入侵处理方式主要通过人工运维方式对服务器的入侵情况进行排查和处理,但这种方法需要消耗大量的人工运维成本。
因此,希望提供一种方法,能够自动检测到服务器被入侵的情况,以降低人工运维的成本。
发明内容
本申请提供一种服务器入侵处理方法及相关装置,以期能够自动检测到服务器被入侵的情况,并及时进行处理,从而降低人工运维的成本。
第一方面,本申请提供一种服务器入侵处理方法,该方法可以由服务器入侵处理装置来执行,或者,也可以由配置在服务器入侵处理装置中的部件(如芯片、芯片系统等)执行,或者,还可以由能够实现部分或全部服务器入侵处理装置功能的逻辑模块或软件等实现,本申请对此不作限定。
示例性地,该方法包括:基于对第一服务器的监控得到的数据,确定如下至少一项存在异常:日志、用户名及密码、文件、端口和进程,所述第一服务器为被监控的服务器集群中的一个服务器;在确定一个或多个目标项存在异常的情况下,基于预定义的多个目标项与多个计数值的一一对应关系,将所述一个或多个目标项中每个目标项所对应的计数值累加至所述第一服务器对应的计数值上,所述预定义的多个目标项包括所述日志、所述用户名及密码、所述文件、所述端口和所述进程;在所述第一服务器对应的计数值落入预定义的计数范围时,基于预定义的多个风险级别与多个计数范围的一一对应关系,确定所述第一服务器被入侵的风险级别;基于预定义的所述多个风险级别与多种修复方式的一一对应关系,确定所述第一服务器被入侵的风险级别所对应的修复方式。
基于上述方案,通过对第一服务器的监控,能够及时确定第一服务器是否存在被入侵的情况,并确定第一服务器被入侵的风险等级,并基于预定义的多个风险等级与多种修复方式的对应关系以及第一服务器被入侵的风险等级,确定出对第一服务器的修复方式,从而能够及时地对第一服务器进行修复,整个过程中人工参与极少,可以降低人工运维的时间成本和人力成本。另外,通过该方案,能够及时发现服务器被入侵的行为,可以满足对安全性能要求高的业务系统的需求。
可选地,所述一个或多个目标项包括所述日志,该方法还包括:在确定所述日志的文件的大小大于第一预设门限的情况下,确定所述日志存在异常;
向所述第一服务器的防火墙下发封禁指令,所述封禁指令包括入侵所述第一服务器的互联网协议(internet protocol,IP)地址,所述IP地址是基于所述日志确定的,所述封禁指令用于指示所述防火墙开启对所述IP地址的自动封禁。
可选地,所述一个或多个目标项包括所述用户名及密码,该方法还包括:在确定存在新增的超级用户的情况下,确定所述用户名及密码存在异常;删除所述新增的超级用户的信息。
可选地,所述一个或多个目标项包括所述用户名及密码,该方法还包括:在确定存在用户的用户名和/或密码被修改的情况下,确定所述用户名及密码存在异常;重置所述用户的用户名和密码。
可选地,所述一个或多个目标项包括所述文件,该方法还包括:在确定存在木马文件的情况下,确定所述文件存在异常;删除所述木马文件。
可选地,所述一个或多个目标项包括所述文件,该方法还包括:在确定存在被异常删除和/或被异常篡改的文件的情况下,确定所述文件存在异常;恢复所述被异常删除和/或被异常篡改的文件。
可选地,所述一个或多个目标项包括所述端口,该方法还包括:在确定存在新增的开放的预设端口的情况下,确定所述端口存在异常;关闭所述新增的开放的预设端口。
可选地,所述一个或多个目标项包括所述进程,该方法还包括:在确定存在非法进程的情况下,确定所述进程存在异常,所述非法进程为被系统后门所加载的,且占用中央处理器(central processing unit,CPU)超过第二预设门限或使用内存超过第三预设门限的进程;结束所述非法进程。
可选地,所述在确定所述一个或多个目标项存在异常的情况下,该方法还包括:基于抓取到的所述第一服务器上的网络包确定所述第一服务器存在渗透第二服务器的异常流量,所述第二服务器为所述被监控的服务器集群中除所述第一服务器以外的一个或多个服务器;中断所述异常流量。
第二方面,本申请提供一种服务器入侵处理装置,该装置包括:确定模块和计数模块,确定模块用于基于对第一服务器的监控得到的数据确定如下至少一项存在异常:日志、用户名及密码、文件、端口和进程,所述第一服务器为被监控的服务器集群中的一个服务器;计数模块用于在一个或多个确定目标项存在异常的情况下,基于预定义的多个目标项与多个计数值的一一对应关系,将所述一个或多个目标项中每个目标项所对应的计数值累加至所述第一服务器对应的计数值上,所述预定义的多个目标项包括所述日志、所述用户名及密码、所述文件、所述端口和所述进程;该确定模块还用于在所述第一服务器对应的计数值落入预定义的计数范围时,基于预定义的多个风险级别与多个计数范围的一一对应关系,确定所述第一服务器被入侵的风险级别;该确定模块还用于基于预定义的所述多个风险级别与多种修复方式的一一对应关系,确定所述第一服务器的风险级别所对应的修复方式。
第三方面,本申请提供一种服务器入侵处理装置,该装置包括处理器,该处理器与存储器耦合,用于执行存储器中的计算机程序(也可以称为代码或指令),以实现第一方面以及第一方面中任一种可能实现方式中的方法。
可选地,所述服务器入侵处理装置还可以包括存储器,用于存储计算机程序(也可以称为代码或指令),处理器读取所述计算机程序使得服务器入侵处理装置可以实现上述第一方面以及第一方面任一种可能实现方式中所述的方法。
可选地,所述服务器入侵处理装置还可以包括通信接口,所述通信接口用于该服务器入侵处理装置与其它设备进行通信,示例性地,通信接口可以是收发器、电路、总线、模块或其它类型的通信接口。
第四方面,本申请提供了一种芯片系统,该芯片系统包括至少一个处理器,用于支持实现上述第一方面以及第一方面任一种可能实现方式中所涉及的功能,例如,例如处理上述方法中所涉及的数据。
在一种可能的设计中,所述芯片系统还包括存储器,所述存储器用于保存程序指令和数据,存储器位于处理器之内或处理器之外。
该芯片系统可以由芯片构成,也可以包含芯片和其它分立器件。
第五方面,本申请提供了一种计算机可读存储介质,所述存储介质中存储有计算机程序(也可以称为代码或指令),当所述计算机程序被计算机执行时,使得计算机实现第一方面以及第一方面任一种可能实现方式中的方法。
第六方面,本申请提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序(也可以称为代码或指令),当所述计算机程序被运行时,使得上述第一方面以及第一方面中任一种可能实现方式中的方法被执行。
应理解,本申请的第二方面至第六方面与本申请的第一方面的技术方案相对应,各方面及对应的可行实施方式所取得的有益效果相似,不再赘述。
还应理解,本申请提供的服务器入侵处理方法及相关装置可应用于信息安全领域,也可应用于其他领域。本申请对此不作限定。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为适用于本申请实施例的系统架构示意图;
图2为本申请实施例提供的一种服务器入侵处理方法的示意性流程图;
图3为本申请实施例提供的又一种服务器入侵处理方法的示意性流程图;
图4为本申请实施例提供的一种服务器入侵处理装置的示意性框图;
图5为本申请实施例提供的另一种服务器入侵处理装置的示意性框图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
首先对本申请所涉及的名词进行解释:
1、日志:可以理解为事件记录。每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。视窗(Windows)网络操作系统都设计有各种各样的日志文件,如应用程序日志、安全日志、系统日志、调度程序(scheduler)服务日志、文件传输协议(file transferprotocol,FTP)日志、万维网(world wide web,WWW)日志和域名系统(domain namesystem,DNS)服务器日志等等,这些日志根据系统开启的服务的不同而有所不同。在系统上进行一些操作时,这些日志文件通常会记录下操作的一些相关内容,这些内容很重要,例如,有人对系统进行了进程间通信(inter-process communication,IPC)探测,系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等;再例如,用FTP探测后,就会在FTP日志中记下探测者探测时所用的IP、时间、用户名等。
2、防火墙:防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。防火墙便是这一道保护屏障。
3、超级用户:超级用户是一种用于进行系统管理的特殊用户,一般指系统管理员。超级用户相比其他普通用户来说,它具有最高的权限,能够进行全系统的配置、维护工作,做很多普通用户没有权限做的事情。
4、系统后门:是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是,如果这些后门被其他人知道,或是在发布软件之前没有删除后门程序,那么它就成了安全风险,容易被黑客当成漏洞进行攻击。
5、渗透:网络渗透、网络渗透攻击的简称。网络渗透攻击是攻击者常用的一种攻击手段,也是一种综合的高级攻击技术。网络渗透攻击是对大型的网络主机服务器集群采用的一种迂回渐进式的攻击方法,通过长期而有计划地逐步渗透攻击进入网络,最终完全控制整个网络。
6、grep命令:是一个常用的内容查询命令,可以用于查找文件里符合条件的字符串。
7、sudo命令:允许普通用户能够执行超级用户才能执行的命令的一种命令。
8、findstr命令:是Windows系统自带的命令,用于查找指定的一个或多个文件文件中包含某些特定字符串的行,或通过参数/V来控制不包含某些特定字符串的行,并将该行完整的信息打印出来,或者,将查询字符串所在的文件名打印出来。
9、tcpdump命令:可以对网络上的数据包(也即网络包)进行截获和分析。
随着互联网技术飞速发展,针对服务器的攻击手段也层出不穷,例如服务器的用户名和/或密码被篡改、服务器被上传木马文件等,服务器的安全面临着越来越严峻的挑战。目前针对服务器的入侵处理方式主要通过人工运维方式对服务器的入侵情况进行排查和处理,但这种方法需要消耗大量的人工运维成本。并且,对于一些对安全性能要求高的业务系统,通过人工运维的方式无法满足这类系统的高安全性需求。
因此,本申请提供一种服务器入侵处理方法及相关装置,通过对服务器的监控,能够及时确定服务器是否存在被入侵的情况,并确定服务器被入侵的风险等级,并基于预定义的多个风险等级与多种修复方式的对应关系以及服务器被入侵的风险等级,确定出对服务器的修复方式,从而能够及时地对服务器进行修复,整个过程中人工参与极少,可以降低人工运维的成本。另外,能够及时发现服务器被入侵的行为,可以满足对安全性能要求高的业务系统的需求。
需要说明的是,本申请实施例中提供的服务器入侵处理方法及相关装置可以应用于信息安全领域,也可以应用于除信息安全领域之外的任意领域,本申请对此不作限定。
图1为适用于本申请实施例的系统架构示意图。
适用于本申请实施例提供的服务器入侵处理方法的系统架构可以包括服务器入侵处理装置和被监控的服务器集群。如图1所示,图中示出了监控服务器110和被监控的服务器集群120,监控服务器110是服务器入侵处理装置的一个示例。被监控的服务器集群120中包括服务器121、服务器122、服务器123、服务器124和服务器125。监控服务器110可以与被监控的服务器集群120中的任一个服务器进行通信。服务器121、服务器122、服务器123、服务器124和服务器125之间也可以相互进行通信。
服务器入侵处理装置可以为一台物理设备,例如,监控服务器110,也可以为多台物理设备组成的服务器集群,本申请实施例对此不作限定。
应理解,在实际的应用场景中,可以包括更多个被监控的服务器集群,被监控的服务器集群也可以包括更多或更少个服务器,本申请对被监控的服务器集群的个数以及被监控的服务器集群中包括的服务器的具体个数不作限定。
下面将结合附图,对本申请实施例提供的服务器入侵处理方法进行描述。
图2为本申请实施例提供的一种服务器入侵处理方法的示意性流程图。该方法可以由服务器入侵处理装置来执行,或者,也可以由配置在服务器入侵处理装置中的部件(如芯片、芯片系统等)执行,或者,还可以由能够实现部分或全部服务器入侵处理装置功能的逻辑模块或软件等实现,本申请对此不作限定。
如图2所示,该方法200可以包括步骤210至步骤240。下面详细说明该方法200中的各个步骤。
在步骤210中,服务器入侵处理装置基于对第一服务器的监控得到的数据,确定如下至少一项存在异常:日志、用户名及密码、文件、端口和进程。
应理解,第一服务器为被监控的服务器集群中的一个服务器。如图1所示,第一服务器可以是被监控的服务器集群120中的任意一个服务器。
服务器入侵处理装置可以对服务器集群中的服务器进行监控。例如,服务器入侵处理装置可以对服务器集群中的每个服务器的日志、用户名及密码、文件、端口和进程等进行监控。图3示出了对服务器的日志、用户名及密码、文件、端口和进程进行监控的更详细的过程,并在监控到异常的情况下提供了相应的应急措施。下文中将结合图3分别描述对服务器的日志、用户名及密码、文件、端口和进程进行监控的过程及其应急措施。
黑客在入侵服务器时可能会在服务器的日志文件中留下记录。服务器入侵处理装置可以对日志进行监控,周期性获取日志的相关数据,例如日志文件的大小和日志文件中记录的内容等,如图3所示的S310,服务器入侵处理装置基于日志的相关数据确定日志是否存在异常。
在一种可能的实现方式中,服务器入侵处理装置在确定日志的文件的大小大于第一预设门限的情况下,确定日志存在异常。
示例性地,服务器入侵处理装置可以周期性地查看第一服务器上的/var/log/secure目录下的安全日志文件是否异常增大,换言之,可以查看安全日志文件的大小是否大于第一预设门限,若安全日志文件的大小大于第一预设门限,则可以确定该安全日志文件存在异常,从而可以确定日志存在异常。进而可以确定第一服务器可能存在被入侵的风险。
同样地,服务器入侵处理装置也用同样地方式确定其他日志文件(例如,应用程序日志、系统日志、调度程序服务日志等)是否存在异常。为了简洁,再次不再一一赘述。
可选地,服务器入侵处理装置在确定日志存在异常之后,该方法还可以包括:如图3所示的S311,服务器入侵处理装置向第一服务器的防火墙下发封禁指令。
其中,封禁指令包括入侵第一服务器的IP地址,该IP地址是基于日志确定的,封禁指令可以用于指示防火墙开启对该IP地址的自动封禁。
在确定日志存在异常之后,服务器入侵处理装置可以对第一服务器存在的被入侵的风险采取应急阻断措施。示例性地,服务器入侵处理装置可以调用grep命令分析/var/log/secure目录下的安全日志文件,定位安全日志文件有多少IP地址在爆破第一服务器的根(root)账号,以及登录成功的IP地址有哪些,并可以将尝试登录的IP地址和登录成功的IP地址确定为入侵第一服务器的IP地址,向第一服务器的防火墙下发封禁这些IP地址的封禁指令,以使得第一服务器的防火墙开启对这些IP地址的自动封禁。从而可以防止黑客对第一服务器进一步入侵。
黑客在入侵服务器时可能会创建新的权限较高的用户,例如超级用户,或者,修改服务器的上原始用户的用户名和/或密码。服务器入侵处理装置可以对日志进行监控,周期性获取用户名及密码的相关数据,例如文件名及密码文件中记录的内容等,如图3所示的S320,服务器入侵处理装置基于用户名及密码的相关数据确定用户名及密码是否存在异常。
在一种可能的实现方式中,服务器入侵处理装置在确定存在新增的超级用户的情况下,确定用户名及密码存在异常。
上文已述及,超级用户具有最高的权限,能够做很多普通用户没有权限做的事情,因此如果黑客在第一服务器上非法创建了新的超级用户,他可以基于该超级用户对第一服务器进行进一步入侵。
示例性地,服务器入侵处理装置可以周期性地查看/etc/password和/etc/shadow目录下的用户名及密码文件的内容,服务器入侵处理装置在确定用户名及密码文件中存在新增的超级用户的情况下,可以确定用户名及密码存在异常。进而可以确定第一服务器可能存在被入侵的风险。
可选地,服务器入侵处理装置在确定用户名及密码存在异常之后,该方法还可以包括:如图3所示的S321,服务器入侵处理装置删除新增的超级用户的信息。
为了避免黑客对第一服务器进一步入侵,降低第一服务器被入侵的程度,服务器入侵处理装置在确定用户名及密码存在异常之后,可以删除该新增的超级用户的信息。
在一种可能的实现方式中,服务器入侵处理装置在确定存在用户的用户名和/或密码被修改的情况下,确定用户名及密码存在异常。
用户的用户名和/或密码被修改,也即存在用户被盗号,导致被盗号的用户无法登录到其账号上,可能会给用户带来不可预知的经济损失。
示例性地,服务器入侵处理装置可以周期性地查看/etc/password和/etc/shadow目录下的用户名及密码文件的内容,服务器入侵处理装置在确定存在用户的用户名和/或密码被修改的情况下,可以确定用户名及密码存在异常。进而可以确定第一服务器可能存在被入侵的风险。
可选地,服务器入侵处理装置在确定用户名及密码存在异常之后,该方法还可以包括:如图3所示的S322,服务器入侵处理装置重置该用户的用户名和密码。
为了尽量降低给用户带来的不可预知的经济损失,服务器入侵处理装置可以重置该用户的用户名和密码。还可以在重置该用户的用户名和密码后,及时提醒用户重新设置安全性较强的密码,以保证账户的安全。
在有些情况下,黑客有可能盗走普通用户的账号,再会利用sudo命令赋予该普通用户执行超级用户才能执行的命令的能力,由此来进一步对第一服务器进行入侵。服务器入侵处理装置在确定用户名及密码存在异常之后,也可以重置该用户的用户名和密码,并将该用户的权限恢复为普通用户的权限。本申请对此不作限定。
黑客入侵服务器时通常会伴随着对文件的删除、篡改,或木马文件的上传等入侵行为,影响服务器的正常运行。服务器入侵处理装置可以对文件进行监控,周期性获取文件的相关数据,例如文件的大小、文件的存储路径、文件记录的内容等,如图3所示的S330,服务器入侵处理装置基于文件的相关数据确定文件是否存在异常。
在一种可能的实现方式中,服务器入侵处理装置在确定存在被异常删除和/或被异常篡改的文件的情况下,确定文件存在异常。
示例性地,服务器入侵处理装置可以周期性地查看第一服务器上的敏感目录(例如/tmp)下的文件,尤其注意具有隐藏属性的文件,查看第一服务器上这些文件(例如,以asp、aspx、php、jsp为后缀的脚本执行文件)记录的内容是否存在多余的代码,若存在多域的代码,则确定这些代码是否是包含eval等特殊字符的一句话木马(例如,webshell代码)和木马后门等,若文件记录的内容中包含一句话木马、木马后门等,则可以确定该文件被异常篡改;服务器入侵处理装置还可以周期性地查看第一服务器上的不支持修改的文件的大小,若文件的大小异常增大或异常减小,则可以确定该文件被异常篡改;服务器入侵处理装置还可以周期性地查看第一服务器上的文件的存储路径、文件的个数和名称等,来判断是否有文件被异常删除。若存在被异常删除和/或被异常篡改的文件,则可以确定文件存在异常。进而可以确定第一服务器可能存在被入侵的风险。
可选地,服务器入侵处理装置在确定文件存在异常之后,该方法还可以包括:如图3所示的S331,服务器入侵处理装置恢复被异常删除和/或被异常篡改的文件。
在确定文件存在异常之后,服务器入侵处理装置可以对第一服务器存在的被入侵的风险采取应急阻断措施。示例性地,若文件记录的内容中包含一句话木马、木马后门等,服务器入侵处理装置可以将该文件中的一句话木马、木马后门等内容进行删除;若文件的大小异常增大或异常减小,服务器入侵处理装置可以将该文件回退到异常增大或异常缩小之前的内容;若有文件被异常删除,服务器入侵处理装置可以基于之前文件的存储路径和文件中的记录内容,将文件进行恢复,也可以理解为对该文件记录的资源进行还原。
在一种可能的实现方式中,服务器入侵处理装置在确定存在木马文件的情况下,确定文件异常。
示例性地,服务器入侵处理装置可以周期性地查看第一服务器上文件中是否包含新增的基于64位可打印字符来表示二进制数据(base64)加密文件,是否存在包含一句话木马、木马后门等的新增文件,若存在base64加密文件或包含一句话木马、木马后门等的新增文件,则可以确定存在木马文件,从而可以确定文件存在异常。进而可以确定第一服务器可能存在被入侵的风险。
可选地,服务器入侵处理装置在确定文件存在异常之后,该方法还可以包括:如图3所示的S332,服务器入侵处理装置删除木马文件。
在确定文件存在异常之后,服务器入侵处理装置可以对第一服务器存在的被入侵的风险采取应急阻断措施。示例性地,服务器入侵处理装置可以删除新增的base64加密文件和包含一句话木马、木马后门等的木马文件。从而可以防止黑客对第一服务器进一步入侵。
黑客对服务器的入侵很多情况下都是基于端口实现的。服务器入侵处理装置可以对端口进行监控,周期性获取端口的相关数据,例如开放的端口的个数和开放的端口有哪些等,如图3所示的S340,服务器入侵处理装置基于端口的相关数据确定端口是否存在异常。
在一种可能的实现方式中,服务器入侵处理装置在确定存在新增的开放的预设端口的情况下,确定端口存在异常。
示例性地,服务器入侵处理装置可以周期性地查看第一服务器上端口的个数、开放的端口的个数以及开放的端口都有哪些,如果发现第一服务器上存在新增的开放的预设端口,预设端口例如可以包括数据库3306端口、FTP21端口、135端口、445端口、结构化查询语言(structured query language,SQL)数据库1433端口和远程桌面3389端口等,则服务器入侵处理装置可以确定端口存在异常。进而可以确定第一服务器可能存在被入侵的风险。
需要说明的是,黑客可以基于数据库3306端口获取服务器上的数据库存储的数据;黑客可以基于FTP 21端口向服务器上传非法文件;黑客可以基于远程桌面3389端口对服务器进行远程访问。这些端口都理解为容易被黑客所利用来对服务器进行入侵的端口,如果这些端口被开放,可能导致服务器被入侵。
可选地,服务器入侵处理装置在确定端口存在异常之后,该方法还可以包括:如图3所示的S341,服务器入侵处理装置关闭新增的开放的预设端口。
在确定端口存在异常之后,服务器入侵处理装置可以对第一服务器存在的被入侵的风险采取应急阻断措施。示例性地,在确定端口存在异常之后,服务器入侵处理装置可以关闭新增的开放的预设端口。如果还发现存在非法的IP地址连接预设端口,服务器入侵处理装置还可以向第一服务器的防火墙下发封禁该非法IP地址的封禁指令,以使得第一服务器的防火墙开启对该非法IP地址的自动封禁。从而可以防止黑客对第一服务器进一步入侵。
黑客在入侵服务器时可能会导致存在一些进程消耗大量的系统资源,例如占用较多的CPU或使用较多的内存。服务器入侵处理装置可以对进程进行监控,周期性获取进程的相关数据,例如进程占用CPU或使用内存的情等,如图3所示的S350,服务器入侵处理装置基于进程的相关数据确定进程是否存在异常。
在一种可能的实现方式中,服务器入侵处理装置在确定存在非法进程的情况下,确定进程存在异常。
其中,非法进程为被系统后门所加载的,且占用CPU超过第二预设门限的或使用内存超过第三预设门限的进程。
示例性地,服务器入侵处理装置可以周期性地使用前(top)命令排查进程对CPU或内存的占用排行榜,判断是否存在挖矿(例如,表象CPU增高、可疑定时任务、外联矿池IP)等大量消耗系统资源的非法进程,使用ls-l/proc/$PID命令查看非法进程对应的进程文件的路径,跟踪可疑进程的运行情况,若存在排名靠前或不断变化的进程,则确定进程存在异常。进而可以确定第一服务器可能存在被入侵的风险。
可选地,服务器入侵处理装置在确定进程存在异常之后,该方法还可以包括:如图3所示的S351,服务器入侵处理装置结束非法进程。
在确定进程存在异常之后,服务器入侵处理装置可以对第一服务器存在的被入侵的风险采取应急阻断措施。示例性地,服务器入侵处理装置可以使用杀死(kill)命令结束进程。服务器入侵处理装置还可以通过命令查看非法进程的进程标识(processidentification,PID)对应进程的文件路径,再用findstr命令来查找进程调用的文件存储在哪里,并删除或修复非法进程所调用的文件。
在一种可能的实现方式中,服务器入侵处理装置在确定一个或多个目标项存在异常的情况下,该方法还可以包括:如图3所示的S360,服务器入侵处理装置基于抓取到的第一服务器上的网络包确定第一服务器存在渗透第二服务器的异常流量,第二服务器为被监控的服务器集群中除第一服务器以外的一个或多个服务器;如图3所示的S361,服务器入侵处理装置中断异常流量。
需要说明的是,目标项可以包括上文所提及的日志、用户名及密码、文件、端口和进程等。
示例性地,服务器入侵处理装置在确定一个或多个目标项存在异常的情况下,可以利用tcpdump命令抓取第一服务器的网络包,以查看是否存在异常流量,也即,判断第一服务器是否存在且多次横向外联同一域名下的其他服务器IP地址的行为,若存在这类行为,则可确定第一服务器存在渗透第二服务器的异常流量,并使用命令中断非法连接的异常流量。还可以及时被第一服务器渗透的服务器进行紧急修复,防止黑客进一步扩大渗透范围或取得域控权限。
在步骤220中,服务器入侵处理装置在确定一个或多个目标项存在异常的情况下,基于预定义的多个目标项与多个计数值的一一对应关系,将这一个或多个目标项中每个目标项所对应的计数值累加至该第一服务器对应的计数值上。
其中,预定义的多个目标项包括日志、用户名及密码、文件、端口和进程等。
可以预先定义每个目标项所对应的计数值。可以基于目标项的重要程度为每个目标项预先定义对应的计数值,计数值越大的目标项越重要。作为示例而非限定,如表1所示,日志所对应的计数值为3,用户名及密码对应的计数值为1,文件对应的计数值为2,端口对应的计数值为2,进程对应的计数值为2。
表1
应理解,表1只是示例性的,不应对本申请产生任何限定。多个目标项与多个计数值的一一对应关系,也不限定于表格形式,本申请对此不作限定。
示例性地,服务器入侵处理装置对第一服务上的日志、用户名及密码、文件、端口和进程等进行周期性检测,在同一个周期内,若确定日志存在异常,则可以对第一服务器所对应的计数值累加3;若确定用户名及密码存在异常,则可以对第一服务器所对应的计数值累加1;若确定文件存在异常,则可以对第一服务器所对应的计数值累加2;若确定端口存在异常,则可以对第一服务器所对应的计数值累加2;若确定进程存在异常,则可以对第一服务器所对应的计数值累加2。当然,如果确定日志、用户名及密码、文件、端口或进程等不存在异常,则不需要将目标项所对应的计数值累加在第一服务器所对应的计数值上。
需要说明的是,在同一个周期内,第一服务器所对应的计数值的初始值可以设置为0,本申请对此不作限定。
在步骤230中,服务器入侵处理装置在第一服务器对应的计数值落入预定义的计数范围时,基于预定义的多个风险级别与多个计数范围的一一对应关系,确定该第一服务器被入侵的风险级别。
可以预先定义多个风险级别与多个计数范围的一一对应关系。作为示例而非限定,如表2所示,第一服务器被入侵的风险级别可以包括低危风险、中危风险和高危风险这3个风险级别。其中,计数范围(0,3]对应于低危风险,计数范围(3,5]对应于中危风险,计数范围(5,10]对应于高危风险。
表2
| 计数范围 | (0,3] | (3,5] | (5,10] |
| 风险级别 | 低危风险 | 中危风险 | 高危风险 |
应理解,表2只是示例性的,不应对本申请产生任何限定。在实际应用场景中,还可以将风险级别划分为更多或更小个级别,本申请对此不作任何限定。另外,多个风险级别与多个计数范围的一一对应关系,也不限定于表格形式,本申请对此也不作限定。
示例性地,服务器入侵处理装置可以基于预先定义多个风险级别与多个计数范围的一一对应关系,以及第一服务器的计数值,来确定第一服务器被入侵的风险级别。若第一服务器所对应的计数值为8,8落入计数范围(5,10]之内,因此,可以确定第一服务器被入侵的风险级别为高危风险。
需要说明的是,如果第一服务器所对应的计数值为0,则可以确定第一服务器未遭遇入侵。本申请对此不作限定。
在步骤240中,服务器入侵处理装置基于预定义的多个风险级别与多种修复方式的一一对应关系,确定该第一服务器被入侵的风险级别所对应的修复方式。
如果第一服务器被入侵的风险级别为低危风险,服务器入侵处理装置可以通过系统日志文件查看针对哪些目标项对第一服务器进行过应急阻断措施,并对第一服务器进行漏洞整改,例如,弱密码(例如,简单的、安全性较低的密码)整改、敏感端口(例如上述预设端口)替换和修复系统后门漏洞等,对第一服务器完成漏洞整改后,可以将第一服务器重新部署上线。
如果第一服务器被入侵的风险级别为中危风险,服务器入侵处理装置可以紧急下线第一服务器,并判断第一服务器是否存在横向渗透第二服务器行为,若存在横向渗透第二服务器行为,立即下线第二服务器,通过系统日志文件查看针对哪些目标项对第一服务器和第二服务器进行过应急阻断措施,并对第一服务器和第二服务器进行漏洞整改,例如,弱密码(例如,简单的、安全性较低的密码)整改、敏感端口(例如上述预设端口)替换和修复系统后门漏洞等,对第一服务器完成漏洞整改后,可以将第一服务器重新部署上线。
如果第一服务器被入侵的风险级别为高危风险,服务器入侵处理装置可以紧急下线第一服务器,并判断第一服务器是否存在横向渗透第二服务器行为,若存在横向渗透第二服务器行为,立即下线第二服务器。在确定第一服务器存在高危风险时立即触发报警,由运维人员对第一服务器进行漏洞排查和定位,人工修复漏洞,在确认第一服务器无风险后将第一服务器重新部署上线。
基于上述方案,通过对服务器的监控,能够及时确定服务器是否存在被入侵的情况,并确定服务器被入侵的风险等级,从而根据风险等级确定出对服务器的修复方式,进而能够及时地对服务器进行修复,整个过程中人工参与极少,可以降低人工运维的成本。另外,能够及时发现服务器被入侵的行为,可以做到先阻断入侵行为后修复服务器,能够满足对安全性能要求高的业务系统的需求。
图4是本申请实施例提供的一种服务器入侵处理装置的示意性框图。该服务器入侵处理装置可用于实现上述图2和/或图3所对应的任一实施例的方法。
如图4所示,该服务器入侵处理装置400可以包括:确定模块410和计数模块420,该确定模块410可以用于基于对第一服务器的监控得到的数据确定如下至少一项存在异常:日志、用户名及密码、文件、端口和进程,该第一服务器为被监控的服务器集群中的一个服务器;计数模块420用于在一个或多个确定目标项存在异常的情况下,基于预定义的多个目标项与多个计数值的一一对应关系,将这一个或多个目标项中每个目标项所对应的计数值累加至该第一服务器对应的计数值上,预定义的多个目标项包括日志、用户名及密码、文件、端口和进程;该确定模块410还可以用于在该第一服务器对应的计数值落入预定义的计数范围时,基于预定义的多个风险级别与多个计数范围的一一对应关系,确定该第一服务器被入侵的风险级别;该确定模块410还用于基于预定义的多个风险级别与多种修复方式的一一对应关系,确定该第一服务器被入侵的风险级别所对应的修复方式。
可选地,这一个或多个目标项包括日志,该确定模块410还可以用于在确定日志的文件的大小大于第一预设门限的情况下,确定日志存在异常;向该第一服务器的防火墙下发封禁指令,该封禁指令包括入侵该第一服务器的IP地址,该IP地址是基于日志确定的,该封禁指令用于指示防火墙开启对该IP地址的自动封禁。
可选地,这一个或多个目标项包括用户名及密码,该确定模块410还可以用于在确定存在新增的超级用户的情况下,确定用户名及密码存在异常;删除该新增的超级用户的信息。
可选地,这一个或多个目标项包括用户名及密码,该确定模块410还可以用于在确定存在用户的用户名和/或密码被修改的情况下,确定用户名及密码存在异常;重置该用户的用户名和密码。
可选地,这一个或多个目标项包括文件,该确定模块410还可以用于在确定存在木马文件的情况下,确定文件存在异常;删除木马文件。
可选地,这一个或多个目标项包括文件,该确定模块410还可以用于在确定存在被异常删除和/或被异常篡改的文件的情况下,确定文件存在异常;恢复被异常删除和/或被异常篡改的文件。
可选地,这一个或多个目标项包括端口,该确定模块410还可以用于在确定存在新增的开放的预设端口的情况下,确定端口存在异常;关闭新增的开放的预设端口。
可选地,这一个或多个目标项为进程,该确定模块410还可以用于在确定存在非法进程的情况下,确定进程存在异常,非法进程为被系统后门所加载的,且占CPU超过第二预设门限或使用内存超过第三预设门限的进程;结束该非法进程。
可选地,在确定这一个或多个目标项存在异常的情况下,该确定模块410还可以用于基于抓取到的所述第一服务器上的网络包确定该第一服务器存在渗透第二服务器的异常流量,第二服务器为被监控的服务器集群中除第一服务器以外的一个或多个服务器;中断该异常流量。
应理解,图4中的服务器入侵处理装置的模块划分只是示例性的,在实际应用中可以根据不同的功能需求,划分出不同的功能模块,本申请对实际应用中的功能模块的划分形式和数量不作任何限定,并且图4不能对本申请产生任何限定。
图5为本申请实施例提供的另一种服务器入侵处理装置的示意性框图。该服务器入侵处理装置可用于实现上述图2和/或图3中任一项所对应的实施例。该服务器入侵处理装置可以为芯片系统。本申请实施例中,芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
示例性地,当该服务器入侵处理装置500用于实现本申请实施例提供的方法200时,处理器510可以用于基于对第一服务器的监控得到的数据,确定如下至少一项存在异常:日志、用户名及密码、文件、端口和进程,第一服务器为被监控的服务器集群中的一个服务器;在确定一个或多个目标项存在异常的情况下,基于预定义的多个目标项与多个计数值的一一对应关系,将一个或多个目标项中每个目标项所对应的计数值累加至第一服务器对应的计数值上,预定义的多个目标项包括日志、用户名及密码、文件、端口和进程;在第一服务器对应的计数值落入预定义的计数范围时,基于预定义的多个风险级别与多个计数范围的一一对应关系,确定第一服务器被入侵的风险级别;基于预定义的所述多个风险级别与多种修复方式的一一对应关系,确定第一服务器被入侵的风险级别所对应的修复方式。具体参见方法示例中的详细描述,此处不做赘述。
该服务器入侵处理装置500还可以包括至少一个存储器520,可以用于保存程序指令和数据等。存储器520和处理器510耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接,可以是电性,机械或其它的形式,用于装置、单元或模块之间的信息交互。处理器510可能和存储器520协同操作。处理器510可能执行存储器520中存储的程序指令。所述至少一个存储器中的至少一个可以包括于处理器中。
该服务器入侵处理装置500还可以包括通信接口530,用于通过传输介质和其它设备进行通信,从而使得服务器入侵处理装置500可以和其它设备进行通信,例如其他设备可以是第一服务器或第二服务器。所述通信接口530例如可以是收发器、接口、总线、电路或者能够实现收发功能的装置。处理器510可利用通信接口530收发数据和/或信息,并用于实现图2对应的实施例中服务器入侵处理装置所执行的方法200,和/或,用于实现图3对应的实施例中服务器入侵处理装置所执行的方法。
本申请实施例中不限定上述处理器510、存储器520以及通信接口530之间的具体连接介质。本申请实施例在图5中以处理器510、存储器520以及通信接口530之间通过总线540连接。总线540在图5中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
本申请还提供了一种芯片系统,所述芯片系统包括至少一个处理器,用于实现上述图2所示实施例中服务器入侵处理装置执行的方法中所涉及的功能,和/或,用于实现图3中服务器入侵处理装置执行的方法中所涉及的功能。
在一种可能的设计中,所述芯片系统还包括存储器,所述存储器用于保存程序指令和数据,存储器位于处理器之内或处理器之外。
该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
本申请还提供一种计算机程序产品,所述计算机程序产品包括:计算机程序(也可以称为代码或指令),当所述计算机程序被运行时,使得计算机执行如图2和/或图3所示实施例的方法。
本申请还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序(也可以称为代码或指令)。当所述计算机程序被运行时,使得计算机执行如图2和/或图3所示实施例的方法。
应理解,本申请实施例中的处理器可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(digitalsignal processor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现场可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
还应理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic RAM,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rateSDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(directrambus RAM,DR RAM)。应注意,本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
本说明书中使用的术语“单元”、“模块”等,可用于表示计算机相关的实体、硬件、固件、硬件和软件的组合、软件、或执行中的软件。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各种说明性逻辑块(illustrative logical block)和步骤(step),能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。在本申请所提供的几个实施例中,应该理解到,所揭露的装置、设备和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上单元集成在一个模块中。
在上述实施例中,各功能模块的功能可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令(程序)。在计算机上加载和执行所述计算机程序指令(程序)时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,数字通用光盘(digital video disc,DVD))、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (13)
1.一种服务器入侵处理方法,其特征在于,所述方法包括:
基于对第一服务器的监控得到的数据,确定如下至少一项存在异常:日志、用户名及密码、文件、端口和进程,所述第一服务器为被监控的服务器集群中的一个服务器;
在确定一个或多个目标项存在异常的情况下,基于预定义的多个目标项与多个计数值的一一对应关系,将所述一个或多个目标项中每个目标项所对应的计数值累加至所述第一服务器对应的计数值上,所述预定义的多个目标项包括所述日志、所述用户名及密码、所述文件、所述端口和所述进程;
在所述第一服务器对应的计数值落入预定义的计数范围时,基于预定义的多个风险级别与多个计数范围的一一对应关系,确定所述第一服务器被入侵的风险级别;
基于预定义的所述多个风险级别与多种修复方式的一一对应关系,确定所述第一服务器被入侵的风险级别所对应的修复方式。
2.如权利要求1所述的方法,其特征在于,所述一个或多个目标项包括所述日志,所述方法还包括:
在确定所述日志的文件的大小大于第一预设门限的情况下,确定所述日志存在异常;
向所述第一服务器的防火墙下发封禁指令,所述封禁指令包括入侵所述第一服务器的互联网协议IP地址,所述IP地址是基于所述日志确定的,所述封禁指令用于指示所述防火墙开启对所述IP地址的自动封禁。
3.如权利要求1所述的方法,其特征在于,所述一个或多个目标项包括所述用户名及密码,所述方法还包括:
在确定存在新增的超级用户的情况下,确定所述用户名及密码存在异常;
删除所述新增的超级用户的信息。
4.如权利要求1所述的方法,其特征在于,所述一个或多个目标项包括所述用户名及密码,所述方法还包括:
在确定存在用户的用户名和/或密码被修改的情况下,确定所述用户名及密码存在异常;
重置所述用户的用户名和密码。
5.如权利要求1所述的方法,其特征在于,所述一个或多个目标项包括所述文件,所述方法还包括:
在确定存在木马文件的情况下,确定所述文件存在异常;
删除所述木马文件。
6.如权利要求1所述的方法,其特征在于,所述一个或多个目标项包括所述文件,所述方法还包括:
在确定存在被异常删除和/或被异常篡改的文件的情况下,确定所述文件存在异常;
恢复所述被异常删除和/或被异常篡改的文件。
7.如权利要求1所述的方法,其特征在于,所述一个或多个目标项包括所述端口,所述方法还包括:
在确定存在新增的开放的预设端口的情况下,确定所述端口存在异常;
关闭所述新增的开放的预设端口。
8.如权利要求1所述的方法,其特征在于,所述一个或多个目标项包括所述进程,所述方法还包括:
在确定存在非法进程的情况下,确定所述进程存在异常,所述非法进程为被系统后门所加载的,且占用中央处理器CPU超过第二预设门限或使用内存超过第三预设门限的进程;
结束所述非法进程。
9.如权利要求1至8中任一项所述的方法,其特征在于,所述在确定所述一个或多个目标项存在异常的情况下,所述方法还包括:
基于抓取到的所述第一服务器上的网络包确定所述第一服务器存在渗透第二服务器的异常流量,所述第二服务器为所述被监控的服务器集群中除所述第一服务器以外的一个或多个服务器;
中断所述异常流量。
10.一种服务器入侵处理装置,其特征在于,所述装置包括:
确定模块,用于基于对第一服务器的监控得到的数据确定如下至少一项存在异常:日志、用户名及密码、文件、端口和进程,所述第一服务器为被监控的服务器集群中的一个服务器;
计数模块,用于在一个或多个确定目标项存在异常的情况下,基于预定义的多个目标项与多个计数值的一一对应关系,将所述一个或多个目标项中每个目标项所对应的计数值累加至所述第一服务器对应的计数值上,所述预定义的多个目标项包括所述日志、所述用户名及密码、所述文件、所述端口和所述进程;
所述确定模块还用于在所述第一服务器对应的计数值落入预定义的计数范围时,基于预定义的多个风险级别与多个计数范围的一一对应关系,确定所述第一服务器被入侵的风险级别;
所述确定模块还用于基于预定义的所述多个风险级别与多种修复方式的一一对应关系,确定所述第一服务器被入侵的风险级别所对应的修复方式。
11.一种服务器入侵处理装置,其特征在于,包括存储器和处理器,其中,
所述存储器用于存储计算机执行指令;
所述处理器用于执行所述计算机执行指令,以实现如权利要求1至9中任一项所述的方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被执行时,以实现如权利要求1至9任一项所述的方法。
13.一种计算机程序产品,包括计算机程序,所述计算机程序被计算机执行时,以实现如权利要求1至9中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210537899.5A CN114915473B (zh) | 2022-05-18 | 2022-05-18 | 一种服务器入侵处理方法及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210537899.5A CN114915473B (zh) | 2022-05-18 | 2022-05-18 | 一种服务器入侵处理方法及相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114915473A true CN114915473A (zh) | 2022-08-16 |
| CN114915473B CN114915473B (zh) | 2024-01-30 |
Family
ID=82767961
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210537899.5A Active CN114915473B (zh) | 2022-05-18 | 2022-05-18 | 一种服务器入侵处理方法及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114915473B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108667642A (zh) * | 2017-03-30 | 2018-10-16 | 穆成坡 | 一种基于风险评估的服务器的风险均衡器 |
| CN111489074A (zh) * | 2020-04-07 | 2020-08-04 | 支付宝(杭州)信息技术有限公司 | 数据处理方法、装置、设备及存储介质 |
| US20210157481A1 (en) * | 2019-11-26 | 2021-05-27 | International Business Machines Corporation | Risk detection of data loss for 5g enabled devices |
| CN113783845A (zh) * | 2021-08-16 | 2021-12-10 | 北京百度网讯科技有限公司 | 确定云服务器上实例风险等级的方法、装置及电子设备 |
| CN114169767A (zh) * | 2021-12-09 | 2022-03-11 | 中国农业银行股份有限公司 | 一种风险评估方法和装置 |
-
2022
- 2022-05-18 CN CN202210537899.5A patent/CN114915473B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108667642A (zh) * | 2017-03-30 | 2018-10-16 | 穆成坡 | 一种基于风险评估的服务器的风险均衡器 |
| US20210157481A1 (en) * | 2019-11-26 | 2021-05-27 | International Business Machines Corporation | Risk detection of data loss for 5g enabled devices |
| CN111489074A (zh) * | 2020-04-07 | 2020-08-04 | 支付宝(杭州)信息技术有限公司 | 数据处理方法、装置、设备及存储介质 |
| CN113783845A (zh) * | 2021-08-16 | 2021-12-10 | 北京百度网讯科技有限公司 | 确定云服务器上实例风险等级的方法、装置及电子设备 |
| CN114169767A (zh) * | 2021-12-09 | 2022-03-11 | 中国农业银行股份有限公司 | 一种风险评估方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114915473B (zh) | 2024-01-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220368707A1 (en) | System and Method for Cyber Security Threat Detection | |
| US11206281B2 (en) | Validating the use of user credentials in a penetration testing campaign | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| US9055093B2 (en) | Method, system and computer program product for detecting at least one of security threats and undesirable computer files | |
| US8949988B2 (en) | Methods for proactively securing a web application and apparatuses thereof | |
| US8272059B2 (en) | System and method for identification and blocking of malicious code for web browser script engines | |
| US7970939B1 (en) | Methods and systems for addressing DNS rebinding | |
| US20180007069A1 (en) | Ransomware Protection For Cloud File Storage | |
| EP3270318B1 (en) | Dynamic security module terminal device and method for operating same | |
| US20180173876A1 (en) | Deceiving attackers in endpoint systems | |
| US20230306119A1 (en) | Intrusion detection | |
| US10339307B2 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
| Raghuvanshi et al. | Internet of Things: Security vulnerabilities and countermeasures | |
| US20220159034A1 (en) | Method and system for determining an automated incident response | |
| KR20170091989A (ko) | 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 | |
| US20240154948A1 (en) | Application single sign-on determinations based on intelligent traces | |
| US11880496B2 (en) | Mitigating against a persistent consistent threat in a network device based on reducing temporal surface area | |
| CN114915473A (zh) | 一种服务器入侵处理方法及相关装置 | |
| CN107682346A (zh) | 一种csrf攻击的快速定位与识别系统和方法 | |
| Harris et al. | Cybersecurity in the golden state | |
| Bhatia et al. | Vulnerability Assessment and Penetration Testing | |
| EP1751651B1 (en) | Method and systems for computer security | |
| US11245703B2 (en) | Security tool for considering multiple security contexts | |
| US12001555B1 (en) | System, method, and apparatus for preventing ransomware | |
| US11714907B2 (en) | System, method, and apparatus for preventing ransomware |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |