[发明专利]获取网页木马连接密码的方法、装置、电子设备、及存储介质

说明书

本公开实施例公开了一种获取网页木马连接密码的方法、装置、电子设备、及存储介质，方法包括：检测目标网站的服务器与客户端之间的流量数据，判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则；如果命中则确定检测到网页木马，抓取命中的PCAP包，根据所命中的网页木马检测规则确定所述网页木马的文件类型，以及根据所述PCAP包的数据内容确定所述网页木马的所属家族；根据所述网页木马的文件类型和所属家族确定所述网页木马的连接密码的位置信息和编码信息，根据所述PCAP包、所述位置信息和所述编码信息获取所述网页木马的连接密码。本公开实施例的技术方案能够提取网页木马的连接密码。

技术领域

本公开实施例涉及网络安全技术领域，具体涉及一种获取网页木马连接密码的方法、装置、电子设备、及存储介质。

背景技术

网页木马(Webshell)是黑客所使用的攻击脚本，黑客控制服务器留下后门之后，常借助网页木马对服务器进行持续的访问和升级，网页木马是以asp、php、jsp、cgi等网页文件类型存在的一种命令执行环境，也可以称为一种网页后门。网页木马的功能不仅包括执行shell命令以及代码，也包括查看数据库等操作。部署成功后入侵者便可通过网站端口对WEB服务器获得某种程度上操作的权限等。访问网页木马时会在WEB服务器的日志中留下一些数据提交记录。

DPI技术，即DPI(Deep Packet Inspection)深度包检测技术是一种基于应用层的流量检测和控制技术，当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时，该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组，从而得到整个应用程序的内容，然后按照系统定义的管理策略对流量进行整形操作。

现有的网页木马检测主要通过检测服务器与客户端之间的流量数据，以判断所述流量数据中是否存在具有网页木马特征或网页木马行为特征的可疑数据，但并不能获取网页木马的更进一步的详细信息。

发明内容

有鉴于此，本公开实施例提供一种获取网页木马连接密码的方法、装置、电子设备、及存储介质，以获取网页木马的连接密码。

本公开实施例的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开实施例的实践而习得。

第一方面，本公开实施例提供了一种获取网页木马连接密码的方法，包括：

检测目标网站的服务器与客户端之间的流量数据，判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则，所述网页木马检测规则集中各网页木马检测规则分别用于识别一种文件类型的网页木马；

如果命中则确定检测到网页木马，抓取命中的PCAP包，根据所命中的网页木马检测规则确定所述网页木马的文件类型，以及根据所述PCAP包的数据内容确定所述网页木马的所属家族；

根据所述网页木马的文件类型和所属家族确定所述网页木马的连接密码的位置信息和编码信息，根据所述PCAP包、所述位置信息和所述编码信息获取所述网页木马的连接密码。

于一实施例中，所述方法还包括，在抓取命中的PCAP包之后，根据所述PCAP包的HOST字段的内容和URL字段的内容获取所述网页木马的访问地址。

于一实施例中，在获取所述网页木马的连接密码之后还包括：

根据所述访问地址和所述连接密码主动连接所述网页木马；

若返回结果表明网络不可达，则确定所述网页木马被删除或无权连接所述网页木马；

若返回结果表明所述服务器无法正常提供信息，或者所述服务器无法回应，则确定所述网页木马为误报的网页木马。

于一实施例中，在检测目标网站的服务器与客户端之间的流量数据之前还包括：

获取多种木马家族的网页木马样本集；