现在互联网技术的蓬勃发展,诸如像大数据、云计算、人工智能、物联网、虚拟现实等新一代科学技术不断涌现。
互联网技术带给我们极大的方便,“网网互联,物物互联,连接一切”已经深入到我们每天的生活中,我们随时随地都可以连接到互联网。
但是同样风险也随之而生,服务器案件数量与日俱增。市面上大部分服务器都是使用的Linux操作系统,对取证人员的技术要求会比较高。今天给大家分享下我们平常遇到服务器案件的取证思路和方法,希望能有所帮助。
一般我们服务器取证会从两个角度来看:一是静态分析,二是动态分析。
静态分析
静态分析在计算机行业中指的是不运行代码的方式下,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。
我这里的静态分析指的是对服务器硬盘/镜像通过常见的介质取证软件镜像基本信息&文件分析。
这里我使用的是火眼证据分析软件,这款软件对主流的服务器镜像格式(raw、aff、e01、ex01、dd、vmdk、vhd 、vhdx 、vdi、qcow、zvhd等等)都能够准确快速的解析,尤其是从阿里云和华为云拿到的服务器镜像,都可以不用进行任何转换,就能直接使用。
1、创建案件后添加镜像文件作为证据;
2、在实际案件中,我们会碰到很多服务器,它们使用了LVM(Logical Volume Manager 逻辑卷管理),这是一种在Linux环境下对磁盘分区进行管理的一种机制;
添加证据后,会发现火眼会把LVM分区作为一个虚拟证据进行处理;
3、可以看到,在证据详情这边,这个LVM虚拟证据,它存在了两个ext4文件系统的分区,分别是vm1和vm2;
4、在证据信息右上角,点击快速分析,找到Linux的分析功能,通过这个功能,无需自己人工找对应的配置文件,即可得到服务器的基本信息和服务器上部署的站点信息;
5、可以分析得到像操作系统信息、Bash命令历史(默认是顺序)、服务器信息(域名、端口、根目录等)等重要的信息;
6、通过文件系统中的搜索,我们也能很快速的过滤到自己想要的目标文件;
7、点击文件,可以快速的进行文件内容的查看;
动态分析
所谓动态分析是个广义的概念,主要是指两种分析方法:
第一种是在线远程连接到目标服务器进行固定分析,这种适用于:
① 服务器所在地可能是在境外,无法现场调证;
② 服务器运营商无法提供镜像,服务器不能断电等;
第二种是服务器镜像已经拿到了,通过对镜像进行仿真后,进行动态的取证分析;
下面我通过一个案例,帮助大家学习这两种方法:
1、首先我们需要有一个服务器的镜像文件,通过火眼仿真取证软件,我们对这个镜像进行仿真;
2、点击创建虚拟机,添加镜像后,软件会自动识别到操作系统,如果没有识别到操作系统,需要手动指定下(像上文提到的LVM,没有办法自动识别到,我们需要手动指定它是CentOS系统);
3、在高级设置中,我们可以进行密码的绕过/重置(Windows、MacOS可以绕过密码,Linux重置密码后默认为123456);
注意:如果后续还需要对服务器中的站点进行重构和网页固定,请把禁用网卡功能取消掉
4、点击创建虚拟机后,通过VMware即可打开仿真好的机器;
5、使用 ifconfig 命令,查看虚拟机的ip地址;
使用 vi /etc/ssh/sshd_config 命令,查看虚拟机SSH连接端口号(一般SSH端口默认是22,但是有些对象会对端口进行修改);
拿到 ip 和 SSH端口号后,使用网探勘验软件连接仿真好的服务器;
6、通过网探勘验软件可以实时获取到服务器的基本信息(系统版本、历史命令、用户列表等)、网站配置信息(主流的Apache、Nginx等);
7、通常服务器上还会部署数据库软件,网探支持MySQL、MongoDB、PostgreSQL、SQLServer等主流数据的连接访问;
这里以MySQL为例,数据库的登录用户名和登录密码通常都会在网站的配置文件中找到,最常见的目录就是/www/wwwroot这类目录下的config目录中,通过上文提到的静态分析或者本文提到的动态分析,都可以访问到这些文件。这是个细致活,需要我们取证人员耐心的搜索过滤。
8、连接成功后,通过点击数据库概览右侧的管理按钮,可以进入数据库的查询搜索功能。
可以通过这个界面,进行数据库的SQL语句查询;
正下方的状态栏,可以看到数据库的丰富的状态信息(版本号、连接时长等);
常见问题
① Linux运维面板
在平时的案件中,我们会经常遇到服务器上安装了AppNode、宝塔、AMH、WDCP等这类Linux运维面板(他们通常的默认端口都是8888、9999这类),通常仿真后,我们可以通过命令行的方式,修改这些面板的管理员密码。
举一个平时最常见的宝塔为例,通过搜索就能在它官网的论坛中找到修改密码的方式:
其他的面板也类似。
② 仿真起来的服务器上的网站域名如何解析
通常我们处理的方式是修改hosts文件,hosts文件主要作用是定义IP地址和主机名的映射关系,是一个映射IP地址和主机名的规定。
Windows xp/2003/vista/2008/7/8/10用户HOSTS文件是在c:\windows\system32\drivers\etc,注意这个文件一定是在系统盘,如果你的系统在D盘请自行修改前面的盘符。
通过记事本/Notepad++等,编辑hosts文件中的内容,即可实现域名的解析。
网站如何固定?
通常我们一般动态分析最后把网站重构好后,需要进行一个网站的在线固定,这里我使用的是网镜互联网取证软件;
1、例如上面的例子,我们再hosts文件修改后,使用网镜打开需要在线固定的页面URL;
通过手动固定任务,我们可以自由的固定单页的网站;
2、网镜提供了丰富的固定功能供选择;
遇到疑难的网站,联系技术支持,也能第一时间得到脚本支持的服务。
本文地址:营销网站建设频道 https://www.hkm168.com/web-yxwz/2213.html,易企推百科一个免费的知识分享平台,本站部分文章来网络分享,本着互联网分享的精神,如有涉及到您的权益,请联系我们处理,谢谢!
相关阅读
