快速定位调证服务器涉案数据

admin 2024年2月23日19:27:44评论10 views字数 1136阅读3分47秒阅读模式

点击上方蓝色字体关注我们

随着各类案件的侦办,我们会遇到各类服务器,绝大部分的服务器都是云服务器,云服务器的操作系统又以Linux系统居多,往往办案单位找云服务器运营商调取服务器的时候,运营商会返回一条服务器镜像的下载链接,通过链接下载获得服务器镜像文件

但办案单位拿到该服务器镜像后如何验证该服务器中是否包含案件关键数据呢!?

下面就以我司协助某办案单位拿到的Linux服务器镜像分析进行阐述:

1.镜像文件基本分析

根据拿到的下载链接下载后得到一个后缀名为.qcow2的镜像文件

快速定位调证服务器涉案数据

使用qemu命令将其转换为后缀名为.raw的镜像文件。

快速定位调证服务器涉案数据

使用X-Ways软件加载.raw镜像文件。

快速定位调证服务器涉案数据

2.查看是否有挂载分区,镜像是否完整

fstab这个文件描述系统中各种文件系统的信息,应用程序读取这个文件,然后根据其内容进行自动挂载的工作。fstab通常都位于/etc目录下,它包括了所有分区和存储设备的信息,以及它们应该挂载到哪里,以什么样子的方式挂载

打开文件夹“etc”下的fstab文件查看挂载信息,发现没有挂载分区。

快速定位调证服务器涉案数据

3.查看登录记录

wtmp日志文件,该文件记录了所有的登录过系统的用户信息。(只记录了登录成功的日志。登录失败记录在btmp文件中),该文件的地址路径为:var/log/wtmp。

打开wtmp文件即可看到登录该服务器的记录(包括登录IP和登录时间)。

快速定位调证服务器涉案数据

4.确定服务器信息

在wwwserver路径下发现nginx文件夹,确定该服务器采用nginx网站架构,在nginx文件下找到相对应的配置文件nginx.conf。

快速定位调证服务器涉案数据

再跳转到“/www/server/panel/vhost/nginx/”路径。

快速定位调证服务器涉案数据

找到对应网站的.conf文件查看,以suyuan.******.online网站为例,查看suyuan.******.online.conf文件可获得网站代码所在路径。

快速定位调证服务器涉案数据

跳转到网站代码路径发现该网站代码采用php语言,php源代码的网站数据库配置文件为网页根目录下的.env文件,找到相应路径下的.env文件。

快速定位调证服务器涉案数据

得到数据库为MYSQL数据库,且数据库就在本地服务器(即该服务器),以及数据库的名称、账号、密码。

5.检查配置设置

Linux服务器本地数据库的路径取决于数据库的安装和配置,MYSQL的配置文件通常在“/etc/my.cnf”或“/etc/mysql/my.cnf”。打开MYSQL配置文件,获得数据库路径。

快速定位调证服务器涉案数据

找到“/www/server”路径下data文件夹,并导出到本地电脑,修改本地电脑MYSQL数据库配置文件中数据文件夹路径,附加数据库。附加成功后,找到相应名称的数据库,将数据库数据与掌握的数据相互印证对比。

快速定位调证服务器涉案数据

原文始发于微信公众号(数据取证杂谈):快速定位调证服务器涉案数据

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月23日19:27:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   快速定位调证服务器涉案数据http://cn-sec.com/archives/2520639.html

发表评论

匿名网友 填写信息