抓取网页数据违法吗( 非法获取计算机信息系统数据固定(1)_长昊商业秘密*敏*感*词* )

　　抓取网页数据违法吗(

非法获取计算机信息系统数据固定(1)_长昊商业秘密*敏*感*词*

)

　　非法获取计算机信息系统数据罪——计算机入侵事件证据如何取证？

　　资料来源：长豪商业秘密*敏*感*词*（非法获取计算机信息系统数据罪、非法获取计算机信息系统数据罪）

　　一、活动介绍

　　某金融网站称其注册会员账户中的财产在用户不知情的情况下被提取，但网站经核实并非用户本人所有。值得注意的是，提款过程中使用的银行卡并非用户名下的真实银行账户。根据现有资料推测，其电脑可能被非法人入侵，网站数据被篡改，损失达数百万。

　　二、数据固定

　　数据固定是分析的先决条件。在固定过程中，必须考虑数据的原创性、完整性、再现性和可控性的原则。下面详细介绍Linux服务器的修复过程。

　　1.目标信息

　　网站 部署在阿里云上，使用Linux操作系统，受害者提供受感染计算机的IP和登录凭据。

　　2.基本信息已修复

　　执行“history>history.log”导出历史命令；

　　执行“last>last.log”导出登录相关信息；

　　执行“lastb>lastb.log”导出登录失败信息；

　　执行“lastlog>lastlog.log”导出所有用户的最后登录信息；

　　执行“tarczvf/var/logvarlog.tar.gz”将/var/log的整个目录打包；

　　执行“ps-AUX>ps.log”导出进程信息；

　　执行“netstat-atunp>netstat.log”导出网络连接信息；

　　3.网站数据固定

　　(1)目录是固定的

　　根据网站应用配置文件，网站的目录为“/www/c****i”，执行“tarczvf/www/c******i**** *.tar .gz”保存网站目录；

　　(2)访问日志已修复

　　根据网站应用配置文件，访问日志的存储位置为：“/etc/httpd/logs”，执行“tarczvf/etc/httpd/logsaccesslog.tar.gz”保存网站 访问日志。

　　为了保证日志的完整性，在执行该命令之前应该先停止网站应用进程，否则会因为网站应用进程锁定日志而导致日志文件不可读：

　　4.数据库已修复

　　(1)数据表已修复

　　在网站目录下找到数据库连接配置文件，将网站数据库导出为“database.sql”，0

　　(2)数据库日志已修复

　　根据Mysql数据库配置信息，提取并修复所有日志文件。

　　三、数据分析

　　1.系统日志分析

　　修复工作完成后，首先分析修复的基本信息，未发现明显异常，排除暴力破解系统用户登录的入侵方式：

　　2.网站 应用分析

　　(1)网站 重构

　　安装Apache、PHP和Mysql，导入固定数据，使用网页浏览器访问后，成功显示网站主页。

　　(2)WebShell 扫描

　　使用WebShell分析工具进行扫描，在网站目录下发现一个名为“up1oad****•php.bmp”的文件，疑似网页木马。

　　(3)WebShell 分析

　　用编码工具查看文件后，发现如下代码“”，表示对帖子提交的h31en变量中的内容进行base64解码。

　　根据文件修改时间找到一个类似的文件，找到符合条件的php代码页“adminer.php”，打开发现这个页面的功能是数据库管理器，可以进行数据库管理动作。

　　一般情况下，网站管理员不需要在网页上修改数据库。结合对文件创建时间的分析，可以确定该页面是入侵者为了远程控制数据库而专门留下的一个界面。

　　3.网站访问日志分析

　　接下来，从网站的访问日志中，过滤掉日志中“adminer.php”页面的所有访问记录，统计“adminer.php”的所有访问记录中出现的“userjd”页面，并获得 4 个用户 ID：t4$grep-Eio"user_id%5d=[e-9]{1,8}"adminer.php。

　　exclude.alibaba.log|排序|uniq

　　用户 ID%5D=1392

　　user_id%5D=1679

　　用户 ID%5D=2613

　　用户 ID%5D=6248"

　　四、入侵恢复

　　然后根据数据分析环节的结果，还原整个入侵过程：

　　1.恶意文件上传

　　入侵者首先利用网站的文件上传漏洞修改含有恶意内容的PHP代码页，修改文件头，伪装成BMP图片，成功绕过网站代码检测机制上传它到网站目录下；

　　2. 确认上传文件证据

　　在网站对应目录中找到上传成功的恶意代码文件“uploaddyp2p.php.php”，可见上传行为有效；

　　3.连接电脑

　　使用“chopper”工具连接到这个网站中的恶意代码页。连接成功后，使用集成文件管理器成功打开网站所在电脑的根目录，并获得管理权限；

　　4.上传数据库管理器

　　使用集成了“chopper”工具的文件管理器，上传数据库管理器代码页“adminer.php”，读取数据库连接配置文件“/data/www/c*****i/dbconfig.php”，并获取数据库权限。

　　5.修改数据

　　访问“adminer.php”页面，篡改数据库数据，绑定银行卡；

　　6.执行提现

　　访问提现页面，执行提现操作，成功非法获取用户财产。