1、計算“檢材1.E01”鏡像的SHA256值是多少
certutil -hashfile '文件路徑' sha256
得到鏡像的sha256值:6a574c40548110598bd4c88520d34b37d13b372066737ede3104743f986b7263
2、該服務器的操作系統版本是什么
通過火眼取證工具可知 系統版本為
CentOS Linux release 7.6.1810(Core)
3、該服務器內核版本是多少
由上圖可知為
3.10.0-957.el7.x86_64
4、原服務器存在多少硬盤分區?
通過火眼可得存在2個
5、原服務器中硬盤分區其中含有一個LVM邏輯卷的分區,請找出該分區內開始的邏輯區塊地址(LBA)。(答案格式: 扇區,Sector)
通過火眼得知LVM邏輯卷的大小為18.99G,同時根據上圖可得分區三大小為18.99G,因此分區三=LVM邏輯卷,起始扇區為2099200
6、該LVM邏輯卷分區內root邏輯卷的文件系統是什么?
xfs
7、該LVM邏輯卷分區內root邏輯卷的物理大小是多少?
root邏輯卷為交換空間(swap文件系統)之外的卷,16.99*1024*1024*1024=18,242,873,589.76,與C接近
8、請找出該服務器的網站訪問端口是什么?
端口為80
9、該服務器中運行了docker應用,在本地有多少docker鏡像?
使用仿真系統創建虛擬機(注:火眼仿真系統必須單獨開啟,不能由火眼取證跳轉,否則無法重置密碼),進入虛擬機。進入/var/lib/docker/image/overlay2/imagedb/content/sha256查看docker鏡像的sha256值
cd /var/lib/docker/image/overlay2/imagedb/content/sha256
ls
發現一共有11個
10、該docker應用的server版本是多少?
docker version
得到docker server的版本號 18.09.7
此處若使用docker --version命令則只能得到client的版本號
11、該docker應用中總共有多少容器節點?
docker ps -a
得到一共10個容器節點
12、運行中的容器節點有多少?
如上圖所示 有3個
13、在運行中的容器節點中,其中一台容器名稱為romantic_varahamihira的容器節點,它的hostname是什么?
由選項可知,hostname=container id ,由上圖可得,為53766d68636f
14、上題容器節點中,占用了主機的哪個端口?
由上圖可得 8012
15、在運行中的容器節點中,其中一台容器ID為15debb1824e6的容器節點,它運行了什么服務?
docker image
輸入上述指令查看各IMAGE負責的服務為何
通過對比可得,id為15debb1824e6的容器節點負責的鏡像ID為49533628fb37,即ssh服務
16、上題容器節點中,占用了主機的哪個端口?
如第11題所示,為39999
17、該服務器中網站運行在docker容器中,其中web服務使用的是什么應用?
由題目11可得,負責web服務(映射至80端口的服務)的容器所對應的image id為f68d6e55e065,由第15題可得為nginx
18、上題所述運行web服務的容器節點,使用的鏡像名稱是什么?(格式REPOSITORY:TAG)
由第15題可得為nginx:latest
19、上題所述容器節點占用的容器端口是什么?
由第十一題可得為8091
20、網站目錄所在的容器內部路徑為(格式:容器ID:路徑)
由bash歷史命令可得,路徑為
/home/ vue2-element-touzi-admin
由第11題可知,負責的容器ID為
16fc160060c1
因此網站目錄所在的容器內部路徑為16fc160060c1:/home/ vue2-element-touzi-admin
21、網站目錄所在的主機路徑為下列選項中的哪個?
在火眼中對vue2-element-touzi-admin進行搜索可得
因此,網站目錄所在主機路徑為:
/var/lib/docker/overlay2/cca977c8ca4a251023000285fbc8b4556636e1adc53cb012c84133a7b857abfc/diff/home/vue2-element-touzi-admin
22、網站日志的路徑在哪?
docker exec -it 16fc160060c1 /bin/bash
進入負責nginx的docker容器
cat /etc/nginx/logs/jrweb.log
得到如下圖所示日志文件
cat /var/log/access.log
查看access.log顯示無此文件
因此日志文件為:16fc160060c1:/etc/nginx/logs/jrweb.log
23、案發當時,該服務器的原始IP地址是多少?
由上題可得為192.168.184.128
24、在docker中,各容器節點和主機之間的網絡連接模式是什么?
docker network inspect bridge
可得
因此可知連接方式為bridge
25、當我們想將網站重構好時,訪問網站時,web應用在其中承擔什么樣的工作?
通過“火眼”跳轉至網頁配置文件/var/lib/docker/overlay2/3a12f92867577b851a302ae4431e87aa2d9b57d6acf286b95df29c08f2c61e41/diff/ete/nginx/nginx.conf
可得
可知為轉發,轉發至172.17.0.3:8012,即容器16fc的8012端口。
26、從網站日志中,我們可以看到嫌疑人入侵服務器所使用的IP是
由題22可得為192.168.184.133
27、網站目錄中網站的主配置文件是哪一個?(相對)
進入網站主目錄
cd /var/lib/docker/overlay2/cca977c8ca4a251023000285fbc8b4556636e1adc53cb012c84133a7b857abfc/diff/home/vue2-element-touzi-admin/server/
查看index.js
判斷index.js為主目錄
28、該網站使用的是什么數據庫?
由題15可得為mangodb
29、所使用數據庫的端口是多少?
通過網探查看mangodb日志文件,為27017
鏈接網探索需要做的准備:
vi /etc/ssh/sshd_config
將passwodauenssion no 刪除
將premitRootLogin yes 得注釋取消
systemctl restart sshd.service
30、數據庫所在服務器IP是多少?
cat /var/lib/docker/overlay2/cca977c8ca4a251023000285fbc8b4556636e1adc53cb012c84133a7b857abfc/diff/home/vue2-element-touzi-admin/server/db.js
得到
查閱資料可得
可知ip為192.168.184.129
31、數據庫的用戶名是什么?
由上題可得為root
32、數據庫的密碼是什么?
由題30可得為root
33、該網站所使用的數據庫庫名是什么?
由題30可得為tougu
34、在案發時,黑客對該服務器某個文件/目錄進行了加密,請問是哪個文件/目錄()?
A.~/.bash_history
B./var/log/
C./etc/ssh/sshd_config
D.~/ runit-agent.txt
A、C可排除
查看B可以訪問
因此是D
