技术特征:
技术总结
本发明公开了一种反弹shell网络连接的信息查找方法及装置。其中,反弹shell网络连接的信息查找方法包括:监听Bash进程创建事件;当监听到Bash进程创建时,判断Bash进程对应的重定向文件是否为套接字文件;若是,则确定Bash进程为反弹shell进程,根据套接字文件描述符判断是否存在反弹shell网络连接;若是,则确认服务器存在反弹shell攻击,两者结合提高了反弹shell检测的准确性,获取反弹shell网络连接的IP地址及端口号,通过准确地获取到IP地址及端口号,对IP地址及端口号进行屏蔽,可以提升安全性,可以及时终止攻击者想要通过反弹shell进行权限提取及漏洞执行的行为,避免安全事件的发生。
技术研发人员:汪德嘉;华保健;柴倩;沈杰;张瑞钦
受保护的技术使用者:江苏通付盾信息安全技术有限公司
技术研发日:2019.03.28
技术公布日:2019.08.16