Linux系统取证主要包括使用现场勘验和电子证据检验鉴定两种方式。现场勘验的目的主要是为了提取和保存易丢失数据,诸如网路连线信息、系统进程信息等。电子证据检验鉴定是在确保电子证据合法有效、不被恶意篡改的情况下,使用相关取证设备进行分析。
基本介绍
- 中文名:LINUX系统取证
- 外文名:LINUX system evidence
- 学科:计算机安全
- 取证程式:现场勘验、电子证据鉴定
- 非法入侵取证:检查系统进程等
- 非法服务取证:检查系统开放服务等
Linux取证程式
Linux系统取证程式和普通Windows系统取证程式并无差异,主要还是使用现场勘验和电子证据检验鉴定两种方式。现场勘验的目的主要是为了提取和保存易丢失数据,诸如网路连线信息、系统进程信息等。电子证据检验鉴定是在确保电子证据合法有效、不被恶意篡改的情况下,使用相关取证设备进行分析。
现场勘验(易丢失数据取证)
现场取证对伺服器及网路环境做出勘验,对易丢失证据优先取证是现场取证的最主要的工作,现场取证可以加快取证工作进度,特别针对非法入侵这类案件,必须在这项工作完成后才能断开网路或关闭伺服器。易丢失数据有系统用户登录记录、进程记录、网路连线记录、临时档案备份等工作,具体取证方法在后面会详细介绍。
电子证据检验鉴定
电子证据检验鉴定(通过唯读锁等方式接入分析)可以将证据硬碟通过唯读锁进行连线,使用linux系统挂载Linux分区或者使用ftkimg等软体将Linux分区挂载在Windows系统下,然后再进行分析取证。
Linux系统通用取证方法
Linux系统被非法入侵
在非法入侵案件中,犯罪嫌疑人会替换系统内的一些指令执行程式,如ls、ps、su等,因此现勘验时必须採用独立、乾净、可靠来源的指令,以保证指令执行结果的正确性。非法入侵后易留下的痕迹:修改系统进程,添加非法用户、启动非法服务、修改配置档案、安装后门等。
检查系统进程
犯罪嫌疑人在入侵Linux系统后必然要在系统中留有后门,或者植入非法程式,通过查看进程的方式可以发现非法进程的线索。查看系统中是否有可疑进程,可以通过如下2个指令进行:
ps aux
pstree
取证时,可以採用重定向功能将显示内容写入到档案中,便于分析及保存当前系统状态(注意:档案需不能保存在证据硬碟上)。
ps aux > ps aux 20100126.txt
pstree > pstree20100126.txt
检查非法用户
犯罪嫌疑人进入系统后,可能会为了日后再次登录方便,为自己开设账户,因此有必要对可疑、非法账户进行检查。与用户相关的主要是/etc目录passwd、shadow、group这三个档案。
passwd保存的是用户属性信息,格式为“用户名:密码:用户ID:组ID:用户信息:用户目录:用户shell许可权”,检查是否有新增用户及用户属性,检查用户的目录属性和组属性是否被改变。
shadow保存的用户密码信息,格式为“用户名:密码:口令最后修改时间距1970年1月1日的天数:其它属性”,检查用户的密码是否为空,以及口令修改时间的天数。
group保存的是用户组信息,格式为“组名:密码:组ID:组成员列表”,检查组ID是否被改变,组成员列表是否增加。
检查用户登录
Linux是多任务、多用户作业系统,该系统对用户登录有详细的记录,为了及时发现嫌疑人是在线上,案发前那些用户登录过作业系统,有必要对用户登录进行检查。检查用户在系统上的当前登录及过去登录的情况,通过以下2个指令:
w指令:检查当前系统中有哪些用户正在登录到系统中
last指令:检查当前系统的登录信息。
检查操作日誌
根据用户登录情况的检查结果,可以对用户的操作日誌档案“用户目录/.bash_history”进行检查,查看犯罪嫌疑人做了哪些操作,及时取证。
检查网路连线状态
犯罪嫌疑人入侵系统虽然有不同的动机和目的,但最重结果都是为了非法获得数据。而数据必然要通过相关途径进行回传,因此有必要检查网路连线状态,也需要因此来判定是否能够断网取证。查看系统中网路连线状态以及网路服务对应的进程,通过以下2个指令:
netstat-lnp
netstat na
做取证工作时,可以採用重定向功能将显示内容写入到档案中,便于分析及保存当前系统状态(注意:档案需不能保存在证据硬碟上)。
netstat lnp > netstat-lnp 20100126.txt
netstat na > netstat-na 20100126.txt
检查系统配置档案
检查系统配置档案的目的是,犯罪嫌疑人设定系统自动启动非法服务或后门程式,保证犯罪嫌疑人可以再次登录系统。根据前几项检查工作的结果,对系统配置档案或目录 /etc/inet.conf、 /etc/inittab、/etc/rc.d/rc3.d/、 /etc/rc.d/init.d/、/etc/rc.d/rc.local进行检查,检查档案是否被修改或有新增档案,上述档案或目录均为系统启动过程中所要调用的内容。
检查系统日誌
根据前几项的检查结果,有针对性的对日誌档案进行检查,发现日誌异常情况。特别是在没有现场勘验条件,只能通过电子证据检验鉴定时,就需要对以下日誌档案进行分析,分析用户登录等数据。
/var/log/lastlog记录每个使用者最近登录系统的时间,因此当使用者登录时,就会显示其上次登录的时间。此档可用/usr/bin/lastlog指令读取。
/var/run/utmp:保存当前登录每个使用者的信息,who,users,finger等指令会查这个档案。
/var/log/wtmp:记录每个使用者登录及退出的时间,last这个指令会查这个档案。这个档案也记录shutdown及reboot的动作。检查在这个档案中记录的可疑连线,可以帮助你确定牵扯到这起入侵事件的主机,找出系统中的哪些帐户可能被侵入了。
/var/log/secure:记录IP位址的访问及访问失败。通过检查这个日誌档案,可以发现一些异常服务请求,或者从陌生的主机发起的连线。
/var/log/maillog:记录电子邮件的收发记录,通过检查这个日誌档案,可以发现伺服器上的邮件往来信息。
/var/log/cron:记录系统定时运行程式的指令,通过检查这个档案,可以发现伺服器上有哪些定时运行的指令。
/var/log/xferlog:记录那些地址使用ftp上传或下载档案这些信息可以帮助你确定入侵者向你的系统上载了哪些工具,以及从系统下载了哪些东西。
/var/log/messages:记录系统大部份的信息,包括login,checkpassWord,failedlogin,ftp,su等,可以从这个档案中发现异常信息,检查入侵过程中发生了哪些事情。
检查临时档案
有些犯罪嫌疑人会将档案写入/temp目录,/temp目录为系统临时快取目录,所有用户均对该目录有写许可权,当伺服器关闭或重新启动后该目录会被清空,因此在取证的时候要通用“ls-alF”指令对/temp目录进行检查,对非法档案进行备份。指令ls的-a参数是列出全部档案,防止以“.”开头的档案名称预设不显示的情况。
Linux系统伺服器提供非法服务
检查系统开放的服务
通过检查网路连线状态可以看到系统开放的服务及对应的连线埠号。例如:开放了80连线埠,证明有可能提供了Web服务,开放了3306连线埠,可能提供Mysql服务。
检查web日誌和数据
当确认Linux系统是提供Web服务套用后,紧跟着重要的任务就是分析Web服务等详细组成部分,分析网站的结构,找到能够证实犯罪嫌疑人违法犯罪的关键数据。检查Apache配置档案,确定非法网站域名与档案目录的对应关係:
/etc/httpd/conf
此目录为系统自带Apache安装包的配置档案目录,可以检查httpd.conf配置档案内容。
/usr/local/apache/conf
此目录为手动编译安装Apache源程式的配置档案目录,可以检查httpd.conf和子目录extra中的配置档案内容。检查Apache日誌档案,查看浏览非法网站的访问记录:
/var/log/httpd/access.log记录httpd服务的访问信息及IP位址。
/var/log/httpd/error.log记录httpd服务出错的访问信息及IP位址。
Redhat预设安装的httpd服务的日誌在/var/log/httpd目录,手工安装的一般在/usr/local/apache2或/usr/local/apache目录检查Tomcat配置及日誌档案:
/usr/local/tomcat/conf/server.xml,Tomcat的配置档案,设定域名与档案目录的对应关係。
/usr/local/tomcat/logs/catalina.out,Tomcat的日誌档案,记录访问域名的信息。
检查资料库日誌和数据(仅以Mysql为例)
检查Mysql配置档案:
/etc/my.cnf,Mysql的配置档案,确定Mysql资料库的存储位置与资料库日誌信息。
检查Mysql日誌档案:
/var/log/mysql.log,Mysql的日誌档案,记录Mysql运行的相关係统。
/usr/local/mysql/var,Mysql的资料库档案存储目录,存放资料库档案。
Linux被作为跳板,提供路由转发
此类案件犯罪嫌疑人一般拥有较高计算机知识,作案时设定多个跳板,妄图干扰侦查视线,逃避打击。遇到此类案件进行侦查时,首先检查网路连线和系统服务,然后再检查应用程式。
检查Iptables
检查Iptables配置情况,查看是否有网路服务被重定向其它伺服器:检查系统中的配置情况,检查是否有部分服务被重定向到其它的伺服器上面,以下2个指令根据系统版本的不同,指令也不相同。
iptables--list ipchains--list做取证工作时,可以採用重定向功能将显示内容写入到档案中,便于分析及保存当前系统状态。
iptables--list > iptables-list 20100126.txt
ipchains--list > ipchains-list20100126.txt
检查Iptables日誌档案,记录Iptables命令的相关信息:Iptables的日誌是放在/var/log/messages里面的,可以搜寻ip_tables这个词来查找相关信息。
检查Squid
SquidCache是基于Linux的一款代理伺服器和Web快取伺服器软体。在江苏省镇江市查办的一起赌博案件中,犯罪嫌疑人通过建立Linux伺服器,安装Squid,唆使参赌人员使用代理伺服器进行登录,妄图逃避打击。检查Squid的配置档案:/etc/squid/squid.conf,配置Squid的代理或快取IP。/usr/local/squid/etc/squid.conf,配置Squid的代理或快取IP。检查Squid的日誌档案:/var/log/squid/access.log,记录Squid的访问记录。
