本發明涉及一種檢測和防范反彈shell的方法，具體包括如下步驟：步驟1，捕獲執行shell程序的動作；步驟2，檢測shell程序進程是否帶終端屬性；如果shell程序進程不帶終端屬性，說明這是一個反彈shell；判定是反彈shell后，向反彈shell進程發出終止信號，殺死進程；步驟3，直至終止反彈shell。本發明不進行后門程序文件本體的查殺，也不使用識別webshell和反彈木馬的技術。因此，沒有變形腳本和木馬的干擾，也不用擔心因未能將它們與系統和正常程序行為區分開來而導致誤報誤殺。

技術領域

本發明涉及互聯網安全技術領域，尤其涉及一種檢測和防范反彈shell的方法和系統。

背景技術

webshell是黑客入侵網站服務器的常用手段。在使用webshell對Linux網站服務器進行入侵提權的過程中，如果直接在webshell中執行漏洞利用程序，由于缺少可交互的環境，不能連續執行命令，即使提權成功也無法利用。因此，黑客首先要反彈一個shell命令行窗口，從而獲得一個類似于合法登錄的交互操作終端，然后在shell終端下執行漏洞利用程序進行提權，將自己的權限從普通用戶權限提升到超級特權用戶權限。提權成功后，以超級特權用戶的身份，繼續在shell終端下執行后繼攻擊命令。

現有的安全技術方案中，關注點主要集中在對后門程序文件本體的查殺，即對webshell的查殺，和對反彈木馬的查殺。防御的思路是發現并清除webshell和反彈木馬，使黑客不能夠再通過webshell和反彈木馬實施攻擊。

在webshell查殺方面，相關的專利及申請有“201210498079.6一種基于頁面關系檢測webshell的方法及系統”(已授權)，“201310423483.1一種WebShell的檢測方法及系統”，“201310691213.9一種本地模擬請求輔助查找webshell的方法及系統”，“201410107975.4一句話腳本后門和PHP變量函數后門免疫安全服務”，“201410780733.1一種基于強制訪問控制機制的webshell防范方法”，“201410781906.1一種基于域內頁面關聯關系檢測webshell頁面的方法及裝置”，“201410844124.8一種WebShell檢測方法及電子設備”，“201510213186.3一種用于Webshell的檢測方法”，“201510305411.6一種Web服務器中的WebShell文件的檢測方法”，“201510496802.0一種webshell檢測方法及裝置”，“201610531622.6一種webshell的檢測方法和檢測系統”等。

正如“201510528712.5webshell變形的靜態檢測方法和裝置”的標題所表達的，webshell具有易變形難檢測的特點。“201510363767.5基于云的webshell攻擊檢測方法、裝置及網關”提出了基于云的檢測方法。“201310638232.5腳本行為關聯防御系統”提出了在webshell執行過程中，記錄腳本行為和線程關聯信息，并判斷其過程是否正常的原則，但難點恰恰是該如何判斷正常還是異常。

在反彈木馬查殺方面，相關的專利及申請有“200910086193.6一種基于網絡的反彈端口型木馬的檢測方法”(已授權)，“201110429663.1一種反彈式木馬的檢測方法和系統”(已授權)，“201210562997.0一種反彈式木馬的檢測方法”(已授權)，“201310408125.3反彈木馬控制端網絡行為功能重建的方法及系統”(已授權)，“201510119824.5反彈連接檢測方法和裝置”、“201510172291.7基于反彈端口木馬的互聯審計方法”、“201510585555.1一種針對內網端口反彈型木馬的防范方法”等。它們意圖通過跟蹤和建立網絡會話的行為特征，來區分正常的連接和反彈的連接，進而定位反彈木馬。

webshell查殺和反彈木馬查殺的難點，在于識別變形的腳本和木馬，以及如何將它們與類似的系統和正常程序行為區分開來。

發明內容