|
|
|
|
移动端

2.6 案例二:谁动了我的胶片(2)

《UNIX/Linux网络日志分析与流量监控》第2章UNIX/Linux 系统取证,本章介绍了大量UNIX 平台下计算机取证的方法,用实例展示了硬盘数据收集和恢复技巧,并用两个案例展示了如何灵活运用各种工具来处理网络故障。本节为大家介绍案例二:谁动了我的胶片。

作者:李晨光来源:机械工业出版社|2014-11-26 20:51

年前最后一场技术盛宴 | 1月27日与京东、日志易技术大咖畅聊智能化运维发展趋势!


2.6 案例二:谁动了我的胶片(2)

张坤有点糊涂了。小蒋是正常上传文件的,在这之后再没人访问过,至少没人再通过FTP 访问过。张坤一头雾水地回到了自己的办公室。王磊看到张坤,连忙询问是否有新的发现。然而张坤只能对他解释说发现了一些可疑之处,但还没有得到证实,张坤感到自己一整天都像是热锅上的蚂蚁。就在这时候,周亮来到了王磊的办公室,告诉他:“又有一部做好的片头视频被发布在网上了!”看到经理这样的情形,王磊和张坤的心里怦怦直跳。周亮说:“视频是昨天晚上制作完成的,怎么这么快就泄露了呢?”。这时张坤想到联系对方的网管,看看是谁发布了这个视频。当和网管取得了联系后,网管说这些信息来自一个自称是Tom的人,他的电子邮件地址是tom@yahoo.com.cn

下面张坤开始利用这封邮件的邮件头信息,希望找到Tom 的IP。他找到了下列邮件头信息:

  1. Received: from web15604.mail.cnb.yahoo.com([202.165.102.x]) by SNT0 -MC3 -F14.Snt0.hotmail.  
  2. com with Microsoft SMTPSVC(6.0.3790.4675);Sat,24 Sep 2010 08:17:50 -0700  
  3. Received: from [122.246.51.2x] by web15604.mail.cnb.yahoo.com viaHTTP;Sat,24 Sep 2010 23:17:  
  4. 48 CST  
  5. X-Mailer:YahooMailWebService/0.8.114.317681  
  6. Message-ID: <1316877468.60773.YahooMail-Neo@web15604.mail.cnb.yahoo.com> 
  7. Date: Sat,24 Sep 2010 23:17:48 +0800(CST)  
  8. From: zhen tom@yahoo.com.cn  
  9. Reply -To: tom fei tom @yahoo.com.cn  
  10. Subject: test by webmail  
  11. To: =?utf-8?B?6LS56ZyH5a6H?= tom@hotmail.com 

经过认真分析、反复核对,张坤基本确定了他的IP 地址。张坤来到王磊的办公桌前,想看看是否能够找到一些其他的信息,也许会有些头绪。张坤让王磊再次检查一下FTP 日志。

  1. #grep apple1.avi xfelog  
  2. Mon Sept 10 04:48:18 2010 1 postprod 147456/completed/apple1.avi b_oa\lex ftp 0*i 

同样,在工作人员上传完文件之后没有人再访问过这些文件。张坤问王磊是否还有其他的方法能够获取这些文件。王磊解释说,这台主机设置了防火墙,只允许21、22、80 端口通过,也就是只允许通过SSH、FTP 和Apache 三种服务访问。于是张坤又让王磊检查在这些文件上传FTP 服务器之后的SSH 日志文件。

  1. Sep 10 17:24:58 postprod sshd[3211]:Accepted password for wanglei from 192.168.0.3 port 49172 ssh2  
  2. Sep 10 18:03:18 postprod sshd[3211]:Accepted password for wanglei from 192.168.0.3 port 49172 ssh2  
  3. Sep 10 22:13:38 postprod sshd[3211]:Accepted password for wanglei from 192.168.0.3 port 49172 ssh2 

同样的结果,张坤感到非常失落。现在的问题是,没有人访问过这些文件,那么这些文件又是怎么泄漏出去的呢?接下来王磊只好查看Web 服务器日志文件,看看能否查到一点线索。

  1. #grep hawk.avi /var/log/apache/  
  2. 192.168.1.11--[10/Sep/2010:23:55:36 -0700] "GET /completed/hawk.avi HTTP/1.0"200 2323336 

王磊的眼睛亮了,张坤也惊喜地张大了嘴巴。192.168.1.11 是公司内网地址,也许他们找到了“凶手”!他们发现了一个异常的IP 地址,之前从来没有见过这个IP 地址。这个IP不属于DHCP 范围之内,而属于一个静态服务器范围。张坤问王磊是否知道哪一台服务器使用这个IP,王磊不能确定。但这个IP 一定不属于后期制作服务器群所在的VLAN。张坤决定再仔细查看一下Web 服务器日志文件,这次主要是看一看这个可疑的IP 地址:

  1. # grep `192.168.1.11` /var/log/apache/  
  2. 192.168.1.11--[10/Sep/2010:23:50:36 -0700] "GET /index.html HTTP/1.0"200 2326  
  3. 192.168.1.11--[10/Sep/2010:23:55:36 -0700] "GET /completed/index.html HTTP/1.0" 200 2378  
  4. 192.168.1.11--[10/Sep/2010:23:51:36 -0700] "GET /completed/movie-cab.avi HTTP/1.0 " 200  
  5. 1242326  
  6. 192.168.1.11--[10/Sep/2010:23:52:24 -0700] "GET /completed/hawk.avi HTTP/1.0" 200 2323336  
  7. 192.168.1.11--[10/Sep/2010:23:55:36 -0700] "GET /completed/apple1.avi HTTP/1.0"200 642326  
  8. 192.168.1.11--[10/Sep/2010:14:00:38 -0700] "GET /completed/pool.avi HTTP/1.0"200 662326  
  9. 192.168.1.11--[10/Sep/2010:23:55:36 -0700] "GET /completed/less.avi HTTP/1.0"200 2552326 

张坤发现有一个人浏览了很多文件。在公司丢失更多的文件之前,张坤必须查清楚到底发生了什么。张坤告诉了王磊新的进展,他为此很高兴,不过他希望张坤能尽快找到事情的最终答案。张坤回到了自己的座位上继续跟踪刚才日志上的可疑IP。他感到非常兴奋,因为“嫌疑人”更近了,尽管他还并不清楚该从何处开始。他认为追捕到这个IP 地址的最佳办法是找到这个IP 地址在物理上是从哪里连上网络的。要做到这一点,就要把该计算机连接到交换机的端口以便和计算机的MAC 地址匹配起来。

遗忘的Squid 服务器

张坤首先ping 这个IP 地址,然后从ARP 表中得到这台计算机的MAC 地址。

张坤得到了重要的信息,他立刻远程登录到服务器连接的Cisco 交换机上。经过几次尝试以后,有了重大的突破。

使用ping 命令看看Tom 的计算机网卡的MAC 地址是多少。

  1. Interface: 192.168.3.41 on Interface 0x1000003  
  2. Internet Address Physical Address Type  
  3. 192.168.1.1 00-30-ab-04-26-dd dynamic  
  4. 192.168.1.11 00-0d-56-21-af-d6 dynamic 

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

C语言核心技术

在这本书中,C 语言专家 Peter Prinz和Tony Crawford为你提供大量的编程参考信息。全书叙述清晰,语句简洁,分析深刻。本书主题包括: ...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊