nginx服务器＋数据库 小练习1ah9

案情背景：

经市民举报，近期经常受到中介的骚扰，办案单位进而对被举报的中介进行审讯，发现他们手上的信息来源都来自于某网站的后台管理员陈某。经查受骚扰的市民都有在该网站注册过信息。锁定嫌疑人后，办案人员迅速对嫌疑人进行了控制，经了解，陈某6月24日中午已经从该公司离职，其声称没办法接触到服务器更不能拿到公民信息。

案例中，镜像为嫌疑人陈某的笔记本电脑硬盘镜像，虚拟机为该网站后台服务器，请对镜像和服务器进行分析，固定嫌疑人在离职前后的可疑痕迹。

一．基本信息：（30分）

1.分别列出服务器的系统类型，版本号，定时任务情况；（5分）

查看系统类型：uname -a

 系统是linux

发行号是3.10这个，uname -r 也可以看

 查看定时任务crontab -l

每天的8：00-20：00，每隔30分钟赋予子目录chmod 755/var/opt/gl/下的bac.sh文件755权限,每天的8：00-20：00，每隔31分钟执行一次/var/opt/gl/bac.sh。

 查看操作系统版本cat  etc/redhat-release

2分别列出运行的网站服务类型，监听端口，网页文件所在位置，网站访问日志位置；（5分）

按道理说这个应该链接xshell，但是不知道为什么ip显示不出来

 在我返回比武原始，可以看到

 ok xshell连好就可以继续很多操作

1：看网站服务类型：（其实就是什么软件，nginx，apach之类的）

在etc下面看见nginx，但是网站服务类型是具体的，所以我们要用命令行查看

 要用这个命令： curl --head http://192.168.39.128

命令都是可以的，但是要注意协议，我写https就是报错的

得到server ：

 Server: nginx/1.12.2   这个就是网站服务类型

 端口可以看到是80

 用netstat -antp验证一下也可以

 网页文件所在位置：（应该问配置文件所在）

一般是/etc/nginx/nginx.conf

 打开可看到

access——log所在位置

所以日志文件所在位置就是：access_log  /var/log/nginx/access.log  main;

3.分别列出网站服务器中运行什么数据库，数据库配置文件所在位置，监听端口，有哪些账号，密码分别是什么？（10分）

数据库是什么：mysql

 我们一打开就看到mysql

一般mysql配置文件/etc/mysql/my.cnf

所以我们查询一下

通过 mysql --help | grep cnf 命令来查看具体路径。

所以我们试一下

 这几个路径都看一下，配置文件就是my.cnf这个

所以这个配置文件直接放在etc下面了

文件位置：/etc/my.cnf

 查看数据库监听端口，一般也是3306

要看账号和密码

这个要放一下，因为没法直接看，我们继续做题

4.尝试启动访问该网站并固定网站首页，简述该网站登录密码的获取方式。（10分）

登录一下ip

 网站密码，要么去看数据库，要么去看历史记录

在谷歌记录里面看到历史

猜测admin admin 应该就是账号密码

 输入后成功看到

二．综合分析：（70分）

5.嫌疑人使用的笔记本中，能够确认的与本次入侵相关的痕迹最早是在什么时间？（5分）

桌面上看到，新建文件夹，然后大概翻看一下

 看到xise webshell后门管理软件，看来这个人有很多网站的后门，然后我们去默认分组看一下，因为这里看到的都不是真正的，题目是问入侵这个网站

 我们到默认分组里面可以看到最早的

6.一个疑似被用于入侵的存储设备在现场没被找到，列出可能名称和序列号。（5分）

一般情况我们会想到手机，然后去电脑里面找看有没有手机备份。

然后手机找不到，那可能是设备里面，打印机之类，感觉也不是

后面看到是usb，不错吧，也不算离谱

7．服务器中history命令没有响应，分析其可能原因并列出相关线索。（10分）

我发现是响应，但是没有他的hsitory 只有我的

 想到前面一个定时命令更改权限没什么，主要是后面一个

 命令被隐藏起来了，所以我们先去看一下，很明显是历史记录都转到这里了

 然后我们要给证据在save看到隐藏文件

 然后再电脑bit解锁后的honglian看到很多命令，我猜是完整的

 所以逻辑就是：

服务器30分钟存储一次，然后history清空，然后嫌疑人通过入侵服务器把这些命令爬下来，

最后存到自己的计算机里面，应该是为了入侵方便

8.嫌疑人是否通过命令行方式管理过数据库？找到相关线索。（5分）

那么前面拿到了命令，所以我们分析hsitory，感觉石登录过来

9.分析E盘中文件的可能来源，并计算其md5值。（10分）

bitlocker文件

问我们来源，历史命令和mysql数据都是服务器来的，所以很多人会猜测是服务器

 但是我们看文件，hognlain最近访问是在F盘，所以是u盘靠过来的。

10.服务器中存在哪些恶意程序，分别是如何上传至服务器的。（15分）

服务器恶意程序，包括前面那个定时，所以猜测应该在刚刚那个目录下

 导出，送到D盾

 前三个是一定的，第四个怀疑

11.嫌疑人是否通过恶意程序从服务器端获取了数据库中的数据，固定相关线索。（10分）

下载记录看到这个

 下载来看看，这里改后缀，改回

 

12.嫌疑人本次删除了多少条数据库记录，可能是什么时间，通过何种方式删除的。（10分）

网站上951个

通过网站数据与前文中下载的csv数据比对，可知嫌疑人本次共删除49条数据。另外，加密分区中的mysite.sql备份文件亦可印证该点。

备份文件有1000条，网站剪一下就好

在网站访问日志中，可见17:48:31——17:48:33秒的访问记录，查看其请求的URL，与heb.php的数据库管理页面相同，推测其可能是通过heb.php的删除手段删除。