本发明涉及网络安全技术领域,具体涉及一种攻击者信息收集方法、系统、终端、服务器及其存储介质。
背景技术:
随着计算机信息技术的不断发展,人们的生活发生了翻天覆地的变化。在享受科技发展带来便利的同时,网络威胁也成为越来越普遍的一种社会现象。许多黑客或者网络攻击者利用自己的掌握的计算机技术,借助于网络对企业信息系统进行攻击,达到破坏或牟利的目的。
市面上,各类网络安全产品也应运而生,从各种不同维度去进行安全防御,维护网络的安全。同时,国家执法部门也出台了相关规定,打击各类网络犯罪行为。但由于网络攻击源头难以回溯,无法获取真实的攻击者信息,给网络事件的处理带来很多困难。
webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器web目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。
攻击者在对website进行webshell攻击时,一旦发现website存在任意文件上传漏洞,会利用辅助工具进行恶意webshell文件上传操作,从而获取website的控制权限。
网络安全管理员在发现此类攻击事件时,通常会采用以下处置手段:
1、在确认存在恶意webshell文件后,删除黑客上传的恶意webshell文件;
2、利用webshell查杀工具,排查磁盘web目录及其他敏感路径是否还有其他恶意webshell文件。如果发现恶意文件,重复第1项操作。
3、确保磁盘上没有恶意webshell文件后,修改程序文件上传代码,修复漏洞。
4、后续安全防护措施,如:在目标服务器上部署网络安全防护软件等。
以上为常见的攻击事件处置方式,是采取“亡羊补牢”的方式,避免website遭受进一步的攻击和损失。但无法对攻击者进行积极的反制追踪、尽可能获取攻击者的信息,从而实现挽回损失或打击网络违法犯罪的可能。
技术实现要素:
本发明的目的在于提供一种攻击者信息收集方法、系统、终端、服务器及其存储介质,用以解决现有技术中无法收集攻击者个人信息的问题。
为实现上述目的,本发明的第一方面提供了一种攻击者信息收集方法,应用于与终端网络连接的业务服务器;其中,所述终端上安装有浏览器;所述攻击者信息收集方法包括:所述业务服务器向网页后门植入信息收集模块;其中,所述网页后门为布置在业务服务器端的安全审计系统检测得到的;当攻击者使用所述浏览器通过所述网页后门访问所述业务服务器时,所述业务服务器向所述浏览器发送所述信息收集模块,以使所述浏览器加载所述信息收集模块;其中,所述信息收集模块用于收集浏览器中加载的信息,和/或开启所述终端的摄像头,并将收集的信息和/或通过摄像头获取的信息发送给所述业务服务器和/或信息收集服务器。
在一种可能的实现方式中,所述信息收集模块为javascript代码文件。
本发明第二方面提供了一种攻击者信息收集方法,应用于与服务器网络连接的终端;其中,所述终端上安装有浏览器;所述攻击者信息收集方法包括:所述浏览器通过网页后门访问所述业务服务器;所述网页后门植入有信息收集模块;其中,所述网页后门布置在业务服务器端的安全审计系统检测得到的;所述浏览器从所述业务服务器接收所述信息收集模块,并加载所述信息收集模块;其中,所述信息收集模块用于收集浏览器中加载的信息,和/或开启所述终端的摄像头,并将收集的信息和/或通过摄像头获取的信息发送给所述业务服务器和/或信息收集服务器。
在一种可能的实现方式中,所述信息收集模块为javascript代码文件。
本发明第三方面提供了一种攻击者信息收集系统,应用于与终端网络连接的服务器;其中,所述终端上安装有浏览器;所述攻击者信息收集系统包括:获知单元,用于获知网页后门;其中,所述网页后门为布置在业务服务器端的安全审计系统检测得到的;植入单元,用于向所述网页后门植入信息收集模块;第一通信单元,当攻击者使用所述浏览器通过所述网页后门访问所述业务服务器时,所述第一通信单元用于向所述浏览器发送所述信息收集模块,以使所述浏览器加载所述信息收集模块;其中,所述信息收集模块用于收集浏览器中加载的信息,和/或开启所述终端的摄像头,并将收集的信息和/或通过摄像头获取的信息发送给所述业务服务器和/或信息收集服务器。
在一种可能的实现方式中,所述信息收集模块为javascript代码文件。
本发明第四方面提供了一种攻击者信息收集系统,应用于与服务器网络连接的终端;其中,所述终端上安装有浏览器;所述攻击者信息收集系统包括:第二通信单元,用于所述浏览器通过网页后门访问所述业务服务器;所述网页后门植入有信息收集模块;其中,所述网页后门为布置在业务服务器端的安全审计系统检测得到的;所述第二通信单元,还用于所述浏览器从所述业务服务器接收所述信息收集模块;加载单元,用于所述浏览器加载所述信息收集模块;其中,所述信息收集模块用于收集浏览器中加载的信息,和/或开启所述终端的摄像头,并将收集的信息和/或通过摄像头获取的信息发送给所述业务服务器和/或信息收集服务器。
在一种可能的实现方式中,所述信息收集模块为javascript代码文件。
本发明第五方面提供了一种业务服务器,采用第三方面所述的攻击者信息收集系统。
本发明第六方面提供了一种终端,所述终端上安装有浏览器;所述终端采用第四方面所述的攻击者收集系统。
本发明第七方面提供了一种计算机可读存储介质,所述计算机可读存储介质上储存有计算机程序,所述计算机程序被处理器执行如第一方面所述的攻击者信息收集方法或第二方面所述的攻击者信息收集方法。
本发明具有如下优点:本发明在攻击者入侵服务器时留下的后门中植入信息收集模块,当攻击者通过浏览器访问该后门时,将信息收集模块请求到本地浏览器,然后自动收集攻击者的浏览器中的身份信息,如果有摄像头的话,自动开启摄像头捕获攻击者画像信息,并将这些信息自动上报到服务器或信息收集服务器;从而能够获取到攻击者的互联网平台账号,例如,百度账号、微博账号等,也能够获得攻击者画像信息,为进一步追踪攻击者身份提供有效的线索。
附图说明
图1为本发明实施例提供的一种攻击者信息收集方法的应用架构图。
图2为本发明实施例提供的一种攻击者信息收集方法的流程图。
图3为本发明实施例提供的一种攻击者信息收集系统的原理结构示意图。
图4为本发明实施例提供的一种攻击者信息收集系统的原理结构示意图。
具体实施方式
以下实施例用于说明本发明,但不用来限制本发明的范围。
需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
本发明的思路为如下:
1、在确认存在恶意webshell文件后,在恶意webshell文件中植入信息收集模块,信息收集模块包括两个脚本文件:文件监控脚本和攻击者反制脚本。
2、利用webshell查杀工具,排查磁盘web目录及其他敏感路径是否还有其他恶意webshell文件。如果发现恶意文件,重复第1项操作。
3、确保磁盘上没有恶意webshell文件后,修改程序文件上传代码,修复漏洞
4、后续安全防护措施,如:在目标服务器上部署网络安全防护软件等。
处置完成后,只要攻击者试图连接其上传的恶意webshell文件,进行进一步的攻击操作时,即会触发下列操作:
1、攻击者在使用浏览器访问恶意webshell文件时,如果攻击者使用的计算机上已经登录百度、微博、邮箱等第三方软件时,已植入的攻击者反制脚本文件会自动运行,同时完成两种操作:
1)通过调用上述第三方软件公开的api接口,获取到攻击者的账号信息(用户名信息)。
2)利用浏览器已有的组件打开攻击者计算机上的摄像头,并自动拍摄攻击者的照片。
2、完成以上操作后,账号信息和照片数据将自动回传至指定的服务器。
3、文件监控脚本程序将随即删除攻击者植入的恶意webshell文件,确保被攻击的website的安全。
接下来,对本发明进行具体说明。
图1示出了本发明实施例提供的攻击者信息收集方法的应用架构图。如图1所示,应用架构可以包括业务服务器11、至少一个终端12,在一个例子中,还可以包括信息收集服务器13;其中,业务服务器11和终端12可以通过网络进行通信,终端12和信息收集服务器13可以通过网络进行通信。终端12具体可以为手机(mobilephone)、平板电脑(pad)、带无线收发功能的电脑、智能手表、智慧城市(smartcity)中的无线终端、智慧家庭(smarthome)中的无线终端等等,其安装有浏览器。业务服务器11为互联网平台的业务服务器,例如微博、支付宝的后台业务服务器。信息收集服务器13用于收集并存储终端11获取的攻击者的信息,并提供给公安或其他执法机构,以追踪攻击者踪迹和确定攻击者。
实施例1
接下来,结合图2对本实施例提供的攻击者信息收集方法进行说明。所述攻击者信息收集方法应用于业务服务器11以及终端12,具体包括以下步骤。
步骤21、所述业务服务器11向所述网页后门植入信息收集模块;其中,所述网页后门为布置在业务服务器端11的安全审计系统检测得到的。
网页后门为攻击者入侵业务服务器11留下的网页后门。安全审计系统可以为天蝎服务器威胁检测系统、360网站安全检测、webshellkiller等现有的安全审计系统,可以检测攻击者留下的网页后门。当安全审计系统发现网页后门,可以发出警报,以提醒业务服务器维护人员,然后通过业务服务器在网页后门植入信息收集模块。
在一个示例中,在网页后门植入信息收集模块包括将信息收集模块的代码写成一个文件,并在网页后门中引用这个文件。
步骤22、当攻击者使用所述浏览器通过所述网页后门访问所述业务服务器11时,所述业务服务器11向所述浏览器发送所述信息收集模块,以使所述浏览器加载所述信息收集模块。
攻击者使用浏览器通过所述网页后门访问业务服务器11时,浏览器会从业务服务器11上请求到相关的html,css、图片、js文件等,信息收集模块也会随之被访问到浏览器中执行。
所述信息收集模块用于收集浏览器中加载的信息,和/或开启所述终端的摄像头,并将收集的信息和/或通过摄像头获取的信息发送给所述业务服务器11和/或信息收集服务器13。
信息收集模块从浏览器中收集到的信息可以包括攻击者使用的账号信息,例如在社交平台的登录接口,其中会有获取浏览器内保留的登录用户名等账号信息;还可以包括浏览器展示的图片;还可以包括浏览器的名称和版本、终端12的操作信息等。
摄像头获取的信息可以包括攻击者的面部特征信息、身体特征信息等个人画像信息以及所在环境特征信息等。
安全管理员通过信息收集服务器提取攻击者信息,提供给公安或其他执法机构进一步追踪攻击者踪迹,进行相关执法。
业务服务器11和终端12能够支持http传输协议和https传输协议。
在一个示例中,信息收集模块包括两个脚本文件:文件监控脚本和攻击者反制脚本。
攻击者在使用浏览器通过网页后门访问业务服务器11时,如果攻击者使用的计算机上已经登录百度、微博、邮箱等第三方软件时,已植入的攻击者反制脚本文件会自动运行,同时完成两种操作:
1)通过调用上述第三方软件公开的api接口,获取到攻击者的账号信息(用户名信息)。
2)利用浏览器已有的组件打开攻击者计算机上的摄像头,并自动拍摄攻击者的照片。
信息收集模块可以为javascript代码文件。
信息收集模块可以在html中调用,下列代码可以放在html的
<head>与</head>之间,也可放在<body>与</body>之间,
<scripttype="text/javascript"
src="/web/src/apps/counter/templates/countertemp.js"></script>
信息收集模块也可以在另一个js文件中引用,具体为在调用文件的顶部加入下例代码
document.write("<scriptlanguage='javascript'
src='/web/src/apps/counter/templates/countertemp.js'></script>");
信息收集模块也可以在php中,具体代码如下:
<scripttype="text/javascript"
src="/web/src/apps/counter/templates/countertemp.js"></script>
或者在php中使用include或include_once或require或require_once
函数调用,具体代码依次如下:
<?php
include('/web/src/apps/counter/templates/countertemp.js')?>
<?php
include_once('/web/src/apps/counter/templates/countertemp.js')?>
<?php
require('/web/src/apps/counter/templates/countertemp.js')?>
<?php
require_once('/web/src/apps/counter/templates/countertemp.js')?>
也可以在asp中调用信息收集模块,具体如下:
<script
language=javascriptsrc="/web/src/apps/counter/templates/countertemp.js"></script>
也可以在jsp中调用信息收集模块,具体如下:
<scripttype="text/javascript"
src="/web/src/apps/counter/templates/countertemp.js"></script>
本实施例提供的攻击者信息收集方法在攻击者入侵服务器时留下的后门中植入信息收集模块,当攻击者通过浏览器访问该后门时,将信息收集模块请求到本地浏览器,然后自动收集攻击者的浏览器中的身份信息,如果有摄像头的话,自动开启摄像头捕获攻击者画像信息,并将这些信息自动上报到服务器或信息收集服务器;从而能够获取到攻击者的互联网平台账号,例如,百度账号、微博账号等,也能够获得攻击者画像信息,为进一步追踪攻击者身份提供有效的线索。
实施例2
本发明实施例还提供了一种攻击者信息收集方法,应用于与业务服务器网络连接的终端;其中,所述终端上安装有浏览器;所述攻击者信息收集方法包括:所述浏览器通过网页后门访问所述业务服务器;所述网页后门植入有信息收集模块;其中,所述网页后门布置在服务器端的安全审计系统检测得到的;所述浏览器从所述业务服务器接收所述信息收集模块,并加载所述信息收集模块;其中,所述信息收集模块用于收集浏览器中加载的信息,和/或开启所述终端的摄像头,并将收集的信息和/或通过摄像头获取的信息发送给所述业务服务器和/或信息收集服务器。
所述信息收集模块为javascript代码文件。
本实施例提供的信息收集模块可以参考实施例1加载的内容实现,此次不在赘述。
本实施例提供的攻击者信息收集方法在攻击者入侵服务器时留下的后门中植入信息收集模块,当攻击者通过浏览器访问该后门时,将信息收集模块请求到本地浏览器,然后自动收集攻击者的浏览器中的身份信息,如果有摄像头的话,自动开启摄像头捕获攻击者画像信息,并将这些信息自动上报到服务器或信息收集服务器;从而能够获取到攻击者的互联网平台账号,例如,百度账号、微博账号等,也能够获得攻击者画像信息,为进一步追踪攻击者身份提供有效的线索。
实施例3
本实施例提供了一种攻击者信息收集系统3,攻击者信息收集系统3应用于与终端12网络连接的业务服务器11;其中,所述终端11上安装有浏览器。
如图3所示,所述攻击者信息收集系统包括:
植入单元31,用于向网页后门植入信息收集模块;其中,所述网页后门为布置在业务服务器11端的安全审计系统检测得到的;
第一通信单元32,当攻击者使用所述浏览器通过所述网页后门访问所述业务服务器11时,所述第一通信单元用于向所述浏览器发送所述信息收集模块,以使所述浏览器加载所述信息收集模块;
其中,所述信息收集模块用于收集浏览器中加载的信息,和/或开启所述终端的摄像头,并将收集的信息和/或通过摄像头获取的信息发送给所述业务服务器11和/或信息收集服务器13。
攻击者信息收集系统3可以参考实施例1记载的内容实现,此处不再赘述。
本实施例提供了一种业务服务器,采用攻击者信息收集系统3。
本实施例提供的攻击者信息收集系统、业务服务器在攻击者入侵服务器时留下的后门中植入信息收集模块,当攻击者通过浏览器访问该后门时,将信息收集模块请求到本地浏览器,然后自动收集攻击者的浏览器中的身份信息,如果有摄像头的话,自动开启摄像头捕获攻击者画像信息,并将这些信息自动上报到服务器或信息收集服务器;从而能够获取到攻击者的互联网平台账号,例如,百度账号、微博账号等,也能够获得攻击者画像信息,为进一步追踪攻击者身份提供有效的线索。
实施例4
本实施例提供了一种攻击者信息收集系统4,攻击者信息收集系统4应用于与业务服务器11网络连接的终端12;其中,所述终端12上安装有浏览器。
如图4所示,所述攻击者信息收集系统包括:
第二通信单元41,用于所述浏览器通过网页后门访问所述业务服务器;所述网页后门植入有信息收集模块;其中,所述网页后门为布置在业务服务器端的安全审计系统检测得到的;
所述第二通信单元41,还用于所述浏览器从所述业务服务器接收所述信息收集模块;
加载单元42,用于所述浏览器加载所述信息收集模块;
其中,所述信息收集模块用于收集浏览器中加载的信息,和/或开启所述终端的摄像头,并将收集的信息和/或通过摄像头获取的信息发送给所述业务服务器11和/或信息收集服务器13。
攻击者信息收集系统4可以参考实施例2记载的内容实现,此处不再赘述。
本实施例提供了一种终端,采用攻击者信息收集系统4。
本实施例提供的攻击者信息收集系统、终端在攻击者入侵服务器时留下的后门中植入信息收集模块,当攻击者通过浏览器访问该后门时,将信息收集模块请求到本地浏览器,然后自动收集攻击者的浏览器中的身份信息,如果有摄像头的话,自动开启摄像头捕获攻击者画像信息,并将这些信息自动上报到服务器或信息收集服务器;从而能够获取到攻击者的互联网平台账号,例如,百度账号、微博账号等,也能够获得攻击者画像信息,为进一步追踪攻击者身份提供有效的线索。
本发明的实施例中的方法步骤可以由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器(randomaccessmemory,ram)、闪存、只读存储器(read-onlymemory,rom)、可编程只读存储器(programmablerom,prom)、可擦除可编程只读存储器(erasableprom,eprom)、电可擦除可编程只读存储器(electricallyeprom,eeprom)、寄存器、硬盘、移动硬盘、cd-rom或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于asic中。另外,该asic可以位于终端以及业务服务器中。
可以理解的是,本发明的实施例中的处理器可以是中央处理单元(centralprocessingunit,cpu),还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor,dsp)、专用集成电路(applicationspecificintegratedcircuit,asic)、现场可编程门阵列(fieldprogrammablegatearray,fpga)或者其他可编程逻辑器件、晶体管逻辑器件,硬件部件或者其任意组合。通用处理器可以是微处理器,也可以是任何常规的处理器。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者通过所述计算机可读存储介质进行传输。所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,dvd)、或者半导体介质(例如固态硬盘(solidstatedisk,ssd))等。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
以上所述,仅为本发明的实施例的具体实施方式,任何熟悉本技术领域的技术人员在本申请公开揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的实施例的保护范围之内。