|
|
|
|
移动端

2.6 案例二:谁动了我的胶片(1)

《UNIX/Linux网络日志分析与流量监控》第2章UNIX/Linux 系统取证,本章介绍了大量UNIX 平台下计算机取证的方法,用实例展示了硬盘数据收集和恢复技巧,并用两个案例展示了如何灵活运用各种工具来处理网络故障。本节为大家介绍案例二:谁动了我的胶片。

作者:李晨光来源:机械工业出版社|2014-11-26 20:49

开发者盛宴来袭!7月28日51CTO首届开发者大赛决赛带来技术创新分享

2.6 案例二:谁动了我的胶片(1)

本案描述了IT 经理张坤在一起广告公司文件泄露的案件中,通过对交换机、服务器日志和邮件信头进行分析,利用多方面日志内容验证了他的推测,最后他将这些信息汇总起来,勾勒出了这次攻击事件的全过程。读者在看完事件的描述后,是否知道在FTP 和SSH日志中找到了什么线索?是否知道如何通过攻击者发出的邮件信头找到他的IP 地址呢?

难度系数:★★★★★

关键日志:Apache 访问日志、Squid 访问日志、邮件头信息

故事人物:周亮(项目负责人)、王磊(网管)、张坤(IT 经理)、曹工(顾问)、小蒋(新员工)

事件背景

在一个美丽的清晨,张坤驾驶着他的SUV 行驶在三环路上。他拿了张Groove Coverage的专辑,播放起了《God Is a Girl》,加大了油门往前方驶去。张坤在一家渲染农场(Renderfarm,学名叫分布式并行计算系统)电影特效公司上班,前不久刚刚被提升为IT 经理,这对于他来说是一件无比兴奋的事情。目前他们公司正在制作《飞虎神拳》的特技效果,大家共同为之努力工作。

他每天早上必须喝上一杯咖啡。今天,他拿着咖啡向办公室走去,被周亮和王磊叫进了会议室。王磊对张坤说:“老大,有人将《飞虎神拳》的机密信息散布了出去,在网上发布了1 分钟的片段。周亮对此非常重视,他让我们检出谁干的,因为这些片段在昨天早晨才完成了后期制作。”

张坤有点紧张,此刻他意识到已经发生的事情对于他们来说意味着什么。周亮大声说:“泄露出去的片段是观众最期望看到的内容,但现在已经公诸于众了!单单是一个镜头就能让公司直接经济损失达数十万元!”曹工接着补充说,电影制作公司将不会再把自己的电影特效交给他们制作,除非他们将这件事情查个水落石出,并且能防止其再次发生。张坤这才明白过来,他们不仅失去了这部电影的特效渲染工作,如果消息传开的话,他们将失去更多的机会。

了解业务流程

张坤是IT 人员,并不熟悉动画渲染业务,他为了搞清楚公司业务流程,立刻询问了电影胶片制作的所有过程,从收到电影制作公司的电影胶片,直到这些电影胶片运回到电影制作公司。周亮一一叙述了整个过程,因为这些都是在他的监督之下完成的。制片公司将需要后期制作的电影胶片(需采用非线性编辑的视频特效)存放在硬盘上,王磊将硬盘上的内容复制到RAID 阵列上,然后给后期制作小组发电子邮件,告诉他们可以取胶片。

后期制作小组的工作采取轮班工作方式,所以周亮打算查出昨天是谁处理过《飞虎神拳》的视频。团队完成后期制作,视频文件就被放在了服务器上的一个目录下。待硬盘中存储足够多的文件,王磊才将硬盘上的文件送给电影制作公司。然后这些文件会被写入磁盘阵列上并离线保存,目前《飞虎神拳》视频内容还没有写到阵列上。

公司内鬼所为?

调查工作进行到第二天清晨,丝毫没有得到有价值的线索。张坤认为有必要和王磊进行一次交谈,以便进一步了解技术细节。张坤心想:“难道是王磊把视频卖给影迷网站?他是那种人吗?”张坤必须弄个水落石出。

王磊在公司创建之初就来工作,现已工作多年。他是后期制作团队的系统管理员。王磊和张坤之间联系不多,因为后期制作相对独立。王磊再一次向张坤解释了所有的过程,他愿意提供更多的技术细节,他们的磁盘阵列和Linux 服务器之间采用直连方式,与该服务器相连的所有客户端也清一色使用Linux 系统。所有的后期制作成员都使用Web 浏览器来获取他们想要操作的文件,并且挑出他们正在处理的文件,也就是说不可能两个人同时操作同一个电影胶片。这些Web 上的代码都是两年前由公司内部开发的,非常可靠。

张坤从与王磊的谈话中确信他不会是作案者。首先,他不会为了贪图眼前的利益而毁掉自己的前程;其次,张坤非常欣赏他的业务能力。

张坤回到了自己的办公室,思考着下一步该怎么办。这似乎并不像内部职员所为。公司内有着良好的企业文化,假设《飞虎神拳》这部惊人之作能够家喻户晓的话,公司必定会因此迎来自己的辉煌。张坤决定仔细研究一下网络拓扑图。公司的网络拓扑图如图2-9 所示,这是他的前任临走前留给他的,也许能够从中找到一些启示。


这张网络拓扑图似乎并没有给张坤太多帮助,局域网中只有几个VLAN。公司内网和因特网之间也有着防火墙、DMZ 区和代理服务器,一切看上去都很正常,调查工作陷入僵局。这时,王磊来到张坤的办公室说,小蒋是昨天最后一个调取胶片文件的员工。张坤立刻拿着记事本去找小蒋,打算一探究竟。

小蒋是公司的新员工,张坤曾经见过他几次,但并没有和他谈过话。小蒋告诉张坤他工作的整个过程:首先他将视频文件从服务器上下载下来,然后对它进行编辑加工,接着就将修改过的文件提交给服务器。张坤询问上传下载的方法时,小蒋说是使用FTP 下载的。张坤听到这条线索,他觉得这也许就是问题所在。于是,他接着问小蒋修改完文件后上传的时间。小蒋回忆了一下,说:“昨天是我太太生日,所以晚上下班比较准时,大约时间是在5:15~5:30”。

取证分析

张坤决定先找王磊查看后期服务器上的FTP 日志。王磊很高兴事情有了新的进展,他帮助张坤查询FTP 日志文件,并登录了后期制作服务器。


  1. # grep xiaojiang xferlog  
  2. Mon Sept 10 04:48:18 2010 1 1.example.com 147456 /var/ftp/pubinfo/bdsq/file2.jpg b_oa xiaojiang ftp 0*i 

“好,这说明小蒋是正常上传文件的。但是之后会不会又有人调取过呢?”

  1. #grep jer xferlog  
  2. Mon Sept 10 04:48:18 2010 1 1.example.com 147456 /completed/ hawk.avi b_oa Jer ftp 0*i 

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

黑客入侵的主动防御

本书是一本非常全面地讲述黑客入侵主动防御技术的网络安全工具书。本书的重点是介绍黑客的攻击手段和提供相应的主动防御保护措施,在组织结...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊