一起网站服务器被攻击案件的侦查取证方法研究

　　随着互联网的快速发展,网络极大方便了我们的日常生活,但同时网络安全问题日益突出,网络犯罪行为也呈上升趋势。加强对网站入侵案件电子数据证据的提取和分析,已成为公安网安部门的重要工作之一。本文结合案例,针对Linux系统需要分析的具体步骤,结合日志文件内容并做出详细的解释,为从事证据提取的侦查人员提供相关取证思路。

　　一、准备工作

　　根据公安部《计算机犯罪现场勘验与电子证据检查规则》之规定",电子证据数据的采集应该遵循合法性、及时性、全面性和严格管理过程等原则,严格按照规范操作。

　　通常情况下,发现网站入侵行为后,调查人员到达现场后首先拔掉可疑计算机的电源线,以防止该机上的数据被破坏。但是对服务器来说,这种做法并不妥当。首先向有关责任人和管理、技术人员了解网站类型和拓扑结构,了解服务器系统情况,原则上采用热备份的方式对电子存储介质复制或者制作镜像文件。 对获取的镜像文件或电子数据进行完整性校验。

　　辖区内一公司报案称,发现其FTP服务器系统于5月16日被黑客攻击,并上传木马程序,删除日志文件。由于该公司服务器托管于电信机房,且服务器上除了该公司的系统外还有其它公司的系统在运行,为了不影响服务器上其它系统的正常运行,我们采取了对存储介质制作镜像文件的方法,便于后续的分析工作。取证难点:(1)大多数侦查人员不熟悉Linux操作系统,对Linux命令更是知之甚微;(2)侦查人员对Linux日志文件的存放路径及如何查看存在一定的难度;(3)侦查人员对木马程序了解甚少。通过本文分析,希望在今后发生类似黑客非法侵入Linux服务器案件时,侦查人员能够第一时间着手分析取证,明确黑客入侵目的,逆向查找入侵P地址,明确黑客人员身份,顺利破案。

　　二、镜像文件分析

　　(一)系统仿真

　　使用FTK软件加载镜像文件为本地物理硬盘,然后使用vmware软件以加载的物理硬盘创建虚拟机登录系统。登录

　　Linux系统有两种方式:如果有系统密码,输入密码直接登录;如果没有,则可以采用密码绕过的方式登录系统。

　　(二)系统授权日志信息查看

　　进入系统后,首先查看Nar/log/目录下的日志文件auth.log是否被清空,如果没有被清空,采用命令lessauth.log查看系统日志(如图1所示),可以得知：系统登录中存在大量的IP地址10.1.0.7的远程连接失败信息。 经过 大量的连接尝试失败后,有IP地址10.1.0.52以root用户连接成功。据此可以判断,有黑客采用了暴力破解的方式获取系统root用户的密码(如图2所示)。

　　(三)查看系统登录失败日志文件btmp.log图3发现以IP地址为10.0.1.7,尝试不同端口进行连接失败的记录,再次验证了黑客对服务器进行了密码暴力破解。

　　(四)查看操作命令日志文件.bash_history 通过查看.bash_history文件,可以得到操作者在本服务器上都使用了何种命令。

　　1.首先进入tmp目录,从FTP(IP地址10.0.1.52)上以用户名Tim、密码tim1990下载tmp.zip压缩包,并解压。进入到tmp/tmp目录,执行zxcc文件。2.进入到Nar/log目录,将syslog文件打包到目录/tmp下,文件名为log2018052200.tgu,并将log2018051100.tgu 文件上传到以用户名Tim登录的FTP(IP地址10.0.1.52)上。 上传失败,安装wput命令包后再次上传。

　　3.进入到 /ar/www/html目录,从上述FTP上下载default.php文件。

　　4.修改/etc/目录下的rc.local和crontab文件。

　　5.删除/mp/目录下的log2018051100.tgu和tmp.zip文件。

　　6.关机。

　　(五)查看rc.local和crontab文件内容分别如图5和图6所示。从图5可知,开启了php和zxcc服务;从图6可知,每天7时50分执行zxcc文件和每天5时30分执行default.php文件。

　　(六)使用R-studio软件

　　对镜像文件进行恢复扫描得到删除的log2018051100.tgu和mp.zip文件,对mp.zip文件解压缩得到zcc文件,并进行分析。该文件疑似木马文件,反向IP为192.168.31.164,端口号为6688。

　　三、结论

　　本文首先分析了黑客如何获取系统密码,并以另外一地址登录服务器;然后分析了黑客登录系统后在服务器上进行了何种命令操作,并分析了这些操作的具体功能;最后恢复了删除的文件,并从中找到了木马回传的IP地址。 此次Linux服务器真实案例的分析,使侦查取证人员对此类案件形成了初步认识,学习了快速提取黑客入侵和被攻击内容的方法,为案件侦查提供了有力支撑。

作者：王李平、孙春雷、代杰、王琛

编辑：广汉