1、计算“检材1.E01”镜像的SHA256值是多少
certutil -hashfile '文件路径' sha256
得到镜像的sha256值:6a574c40548110598bd4c88520d34b37d13b372066737ede3104743f986b7263
2、该服务器的操作系统版本是什么
通过火眼取证工具可知 系统版本为
CentOS Linux release 7.6.1810(Core)
3、该服务器内核版本是多少
由上图可知为
3.10.0-957.el7.x86_64
4、原服务器存在多少硬盘分区?
通过火眼可得存在2个
5、原服务器中硬盘分区其中含有一个LVM逻辑卷的分区,请找出该分区内开始的逻辑区块地址(LBA)。(答案格式: 扇区,Sector)
通过火眼得知LVM逻辑卷的大小为18.99G,同时根据上图可得分区三大小为18.99G,因此分区三=LVM逻辑卷,起始扇区为2099200
6、该LVM逻辑卷分区内root逻辑卷的文件系统是什么?
xfs
7、该LVM逻辑卷分区内root逻辑卷的物理大小是多少?
root逻辑卷为交换空间(swap文件系统)之外的卷,16.99*1024*1024*1024=18,242,873,589.76,与C接近
8、请找出该服务器的网站访问端口是什么?
端口为80
9、该服务器中运行了docker应用,在本地有多少docker镜像?
使用仿真系统创建虚拟机(注:火眼仿真系统必须单独开启,不能由火眼取证跳转,否则无法重置密码),进入虚拟机。进入/var/lib/docker/image/overlay2/imagedb/content/sha256查看docker镜像的sha256值
cd /var/lib/docker/image/overlay2/imagedb/content/sha256
ls
发现一共有11个
10、该docker应用的server版本是多少?
docker version
得到docker server的版本号 18.09.7
此处若使用docker --version命令则只能得到client的版本号
11、该docker应用中总共有多少容器节点?
docker ps -a
得到一共10个容器节点
12、运行中的容器节点有多少?
如上图所示 有3个
13、在运行中的容器节点中,其中一台容器名称为romantic_varahamihira的容器节点,它的hostname是什么?
由选项可知,hostname=container id ,由上图可得,为53766d68636f
14、上题容器节点中,占用了主机的哪个端口?
由上图可得 8012
15、在运行中的容器节点中,其中一台容器ID为15debb1824e6的容器节点,它运行了什么服务?
docker image
输入上述指令查看各IMAGE负责的服务为何
通过对比可得,id为15debb1824e6的容器节点负责的镜像ID为49533628fb37,即ssh服务
16、上题容器节点中,占用了主机的哪个端口?
如第11题所示,为39999
17、该服务器中网站运行在docker容器中,其中web服务使用的是什么应用?
由题目11可得,负责web服务(映射至80端口的服务)的容器所对应的image id为f68d6e55e065,由第15题可得为nginx
18、上题所述运行web服务的容器节点,使用的镜像名称是什么?(格式REPOSITORY:TAG)
由第15题可得为nginx:latest
19、上题所述容器节点占用的容器端口是什么?
由第十一题可得为8091
20、网站目录所在的容器内部路径为(格式:容器ID:路径)
由bash历史命令可得,路径为
/home/ vue2-element-touzi-admin
由第11题可知,负责的容器ID为
16fc160060c1
因此网站目录所在的容器内部路径为16fc160060c1:/home/ vue2-element-touzi-admin
21、网站目录所在的主机路径为下列选项中的哪个?
在火眼中对vue2-element-touzi-admin进行搜索可得
因此,网站目录所在主机路径为:
/var/lib/docker/overlay2/cca977c8ca4a251023000285fbc8b4556636e1adc53cb012c84133a7b857abfc/diff/home/vue2-element-touzi-admin
22、网站日志的路径在哪?
docker exec -it 16fc160060c1 /bin/bash
进入负责nginx的docker容器
cat /etc/nginx/logs/jrweb.log
得到如下图所示日志文件
cat /var/log/access.log
查看access.log显示无此文件
因此日志文件为:16fc160060c1:/etc/nginx/logs/jrweb.log
23、案发当时,该服务器的原始IP地址是多少?
由上题可得为192.168.184.128
24、在docker中,各容器节点和主机之间的网络连接模式是什么?
docker network inspect bridge
可得
因此可知连接方式为bridge
25、当我们想将网站重构好时,访问网站时,web应用在其中承担什么样的工作?
通过“火眼”跳转至网页配置文件/var/lib/docker/overlay2/3a12f92867577b851a302ae4431e87aa2d9b57d6acf286b95df29c08f2c61e41/diff/ete/nginx/nginx.conf
可得
可知为转发,转发至172.17.0.3:8012,即容器16fc的8012端口。
26、从网站日志中,我们可以看到嫌疑人入侵服务器所使用的IP是
由题22可得为192.168.184.133
27、网站目录中网站的主配置文件是哪一个?(相对)
进入网站主目录
cd /var/lib/docker/overlay2/cca977c8ca4a251023000285fbc8b4556636e1adc53cb012c84133a7b857abfc/diff/home/vue2-element-touzi-admin/server/
查看index.js
判断index.js为主目录
28、该网站使用的是什么数据库?
由题15可得为mangodb
29、所使用数据库的端口是多少?
通过网探查看mangodb日志文件,为27017
链接网探索需要做的准备:
vi /etc/ssh/sshd_config
将passwodauenssion no 删除
将premitRootLogin yes 得注释取消
systemctl restart sshd.service
30、数据库所在服务器IP是多少?
cat /var/lib/docker/overlay2/cca977c8ca4a251023000285fbc8b4556636e1adc53cb012c84133a7b857abfc/diff/home/vue2-element-touzi-admin/server/db.js
得到
查阅资料可得
可知ip为192.168.184.129
31、数据库的用户名是什么?
由上题可得为root
32、数据库的密码是什么?
由题30可得为root
33、该网站所使用的数据库库名是什么?
由题30可得为tougu
34、在案发时,黑客对该服务器某个文件/目录进行了加密,请问是哪个文件/目录()?
A.~/.bash_history
B./var/log/
C./etc/ssh/sshd_config
D.~/ runit-agent.txt
A、C可排除
查看B可以访问
因此是D
