[发明专利]一种检测和防范反弹shell的方法和系统

权利要求书

1.一种检测和防范反弹shell的方法，具体包括如下步骤：

步骤1，捕获执行shell程序的动作；

步骤2，检测shell程序进程是否带终端属性；

如果shell程序进程不带终端属性，说明这是一个反弹shell；判定是反弹shell后，向反弹shell进程发出终止信号，杀死进程；

步骤3，直至终止反弹shell。

2.根据权利要求1所述的一种检测和防范反弹shell的方法，其特征在于，所述步骤1的捕获执行shell程序的动作是1)从Linux内核里捕获执行shell程序的动作；或2)从/proc目录中查询正在运行的shell程序。

3.根据权利要求1所述的一种检测和防范反弹shell的方法，其特征在于，所述步骤2的检测shell程序进程是否带终端属性；如果是从Linux内核里捕获执行shell程序的动作，在捕获的同时，可以一并获取进程的终端属性；或者捕获到shell程序进程，可以通过/proc文件系统查询进程的终端属性。

4.一种反弹shell检测和防御系统，以实现上述检测和防范反弹shell的方法；该反弹shell检测和防御系统包括：shell程序捕获模块、反弹shell检测模块、反弹shell终止模块、webshell/反弹木马辅助识别模块；其中：

所述shell程序捕获模块，用于捕获执行shell程序的动作；

所述反弹shell检测模块，用于获取shell进程的终端属性，如果不能取得shell进程的终端属性，则判定该shell进程为反弹shell进程；

所述反弹shell终止模块，用于终止反弹shell进程的运行；

所述webshell/反弹木马辅助识别模块，用于报告启动反弹shell的webshell是后门脚本。

5.根据权利要求4所述的一种反弹shell检测和防御系统，其特征在于，所述获取shell进程终端属性的时机，是在捕获执行shell程序动作的同时获取，或在捕获执行shell程序动作的之后查询shell进程的进程属性，并从中获得终端属性。

6.根据权利要求4所述的一种反弹shell检测和防御系统，其特征在于，所一步的，上述终止反弹shell进程的方式，是令进程在获知自身为反弹shell进程时自行终止，或由防御程序杀死反弹shell进程。

7.根据权利要求4所述的一种反弹shell检测和防御系统，其特征在于，如果反弹shell不是由webshell启动的，那么启动反弹shell的程序是反弹木马。