什么是宝塔板
Panel是一款提高运维效率的服务器管理软件。该面板以网页形式供运维人员使用。使用方便,支持一键式WAMP/WNMP/IIS/LAMP/LNMP////FTP//JAVA等100多种服务器管理功能。随着宝塔面板市场占有率的提高,在涉案的多台服务器中也屡见不鲜。因此,取证对宝塔面板的重要性日益凸显。
宝塔面板取证
宝塔面板就像网站的管理后台。您需要获取管理员的登录账号和密码才能进入管理页面。在案件侦查过程中,与宝塔板的接触频率越来越高,为宝塔板收集证据越来越重要。因此,如何在宝塔面板上快速找到服务器的关键数据就显得尤为重要。
宝塔面板的首页分布在左右两列。左栏是导航菜单,右栏是对应的详情页。
在左侧的导航栏中,网站和数据库是互联网相关案例中首先要关注的内容。您可以点击网站和数据库来获取服务器部署的站点状态。
从网站项中,我们可以了解到网站访问域名、源代码路径、配置文件等重要信息。
从数据库项中,我们可以了解到数据库名称、用户名、密码、备份等重要信息。
需要注意的是,如果不是通过面板创建,则不会显示此信息。以上重要页面数据可以通过截图、录屏等方式保存,也可以使用网络爬虫工具自动修复。
面板的前端数据不足以进行后续分析。如果我想获取源数据应该怎么做?
由于面板用于管理服务器数据,服务器上的文件系统已经打开,您可以通过面板上的文件项浏览服务器文件,并可以进行增删改查、包下载等操作。因此,可以通过面板获取服务器上的原始数据。
比如我们打包网站源码的时候,第一步是点击网站列表中的网站根目录链接进入源文件路径,如图:
第二步,退出到上层目录,选择对应的文件夹进行压缩打包。
第三步,直接下载文件。
除了网站源代码外,数据库的导出同样方便,可以直接从数据库备份中下载。
拥有网站和数据库后,您可以稍后进行网站重建。
虽然为运维人员提供了如此便捷的功能,但宝塔面板不仅需要对以上两类数据进行操作,还有更重要的数据值得我们研究,比如网站配置文件、访问日志、终端命令记录、宝塔面板日志等。这些都可以通过源文件来修复,所以我们需要对宝塔面板目录结构有一个基本的了解。
Linux宝塔面板默认通过命令行安装,其安装目录在/www/下,包括以下目录:
该目录用于保存备份操作后的数据,如数据库备份、网站源备份等;
目录用于保存文件删除操作后的数据,与回收站的作用相同;
该目录为宝塔面板相关服务数据目录,包括宝塔面板自身程序目录和安装的各种服务目录;
该目录为网站日志目录,网站访问日志和错误日志默认保存在这里;
该目录为网站源码目录,面板创建的网站默认保存在这里。
修复备份数据、回收站数据、日志目录和网站目录,可以从这些目录入手宝塔面板设置默认首页,但是数据库数据和配置文件都存放在目录中,因为目录文件很多,结构复杂,对于为了固定效率,建议只下载相应的需要。在这里,我们也扩展了对目录的理解。如下所示:
该目录会随着应用程序的安装增加相应的程序目录。比如宝塔安装了nginx服务和mysql数据库服务,会添加nginx和mysql程序目录,对于数据库,还有data目录。上述网站配置目录统一到panel子目录中,包括虚拟站点vhost目录、 rules目录、ssl证书目录。
一旦熟悉了目录结构,就可以将这些数据导出到本地。
总而言之,对宝塔面板取证,不仅可以获取页面显示的内容数据,还可以利用面板特性获取存储在服务器上的网站和数据库的原始数据,操作的痕迹数据面板上的数据直观易操作,可以帮助取证人员梳理技术人员的行为。因此,面板取证是互联网相关案件中的一项重要要求,也是对取证人员的一项基本要求。
捕网者新版本
CN-2420网捕手网络远程取证系统(简称“网捕手”)是为网站、社交媒体、网络邮箱等收集、存储、发布证据的集成产品,可实现页面截图(带URL)、录屏、实时哈希计算、取证报告生成;获取的证据文件与第三方电子数据证据存储云平台无缝对接,进行哈希值存储;需要时需提供法医鉴定报告 可在线提交申请,并出具具有合法资质的法医鉴定机构出具的法医鉴定报告。
在新版本中,更新了多款网站取证模板,其中新品类“网页运维面板”下的宝塔面板模板备受关注。该模板由5个勾选选项组成,分别是“网站”、“FTP”、“数据库”、“文件”和“下载网站文件”。前三个选项分别对宝塔面板的相应页面(即左侧导航栏中的网站、FTP和数据库页面)进行截图固定和信息提取,并将提取的信息写入CSV文件;一个分页,网捕手也可以完成自动翻页,不放过任何信息!
