背 景

近日，美亚柏科技术专家在一起案件支持时遇到如下情况：完成镜像仿真网站却无法访问。通过分析发现，镜像是一台只部署了网站应用的服务器，数据库没有部署在本地，而是在另外一台服务器上。于是，美亚柏科技术专家根据分析结果快速调取数据库服务器，幸运的是数据库服务器还未被释放，最终将整个站点还原了出来。

这是一种典型的站库分离部署方式，一般情况下办案人员都会先发现网站服务器，通过分析才能确认数据库的位置。但是，往往在一来一回的情况下，数据库服务器很容易在调证过程中被释放，最终没能拿到数据库。所以，及时分析网站部署结构显得尤为重要。

本期，针对站库分离情形，美亚柏科技术专家为大家带来相应的远程取证解决方案，让我们一同学习起来吧！

网站基本结构

在讲站库分离之前，我们先来看一下基本的网站结构。正常情况下网站会部署在操作系统为Windows或者Linux的云服务器上，然后在该操作系统上安装Apache或者Nginx等服务来部署网站程序，同时安装Mysql等数据库来存储网站数据。

什么是站库分离

站库分离就是网站程序和数据库分开部署在两台不同的服务器上，数据库可以是自建数据库，也可以是阿里云或者腾讯云提供的云数据库RDS。这种站库分离模式可以解决单台服务器性能及存储空间不足，提升访问速度及安全性。因此，越来越多的网站采用这种部署模式。

如何取证

那么对于这种站库分离的模式我们该如何取证？我们将通过模拟的服务器来进行演示取证的过程。服务器中安装了Nginx服务，并部署了php站点，连接的Mysql数据库采用阿里云数据库RDS。接下来一起看看站库分离模式的取证过程。

网站服务器取证

首先我们先来看一下网站服务器的取证过程，如何判断服务器是网站服务器？可通过which nginx命令查看该服务器是否存在Nginx服务，还可以通过全局搜索nginx.conf文件来找到主配置文件。

1. 使用which nginx命令发现Nginx服务。

2. 使用find / -name nginx.conf命令查找Nginx主配置文件。

3. 如果要查看Nginx完整配置信息，可使用nginx -T命令查看。

4. 分析以上配置的相关站点信息，包括域名、端口、网站路径等信息，针对该网站服务器取证其实就是对Nginx服务的配置文件、日志文件、网站源码等固定导出。

5. 把网站源码下载下来，分析网站目录结构以及可能存在的数据库配置信息位置，php源码数据库配置信息经常在config目录下或者config.php、database.php等这些关键文件中。结果发现，该网站源码数据库配置信息在config.php文件中，并且连接数据库的地址不是本地，而是指向另外一个云数据库地址，接下去将根据这个地址对数据库进行取证。

6. 目前云勘大师已支持自动搜索相关配置文件，并且支持分析配置文件里面相关的数据库配置信息，包括数据库主机地址、数据库用户名、密码、连接的数据库名称等相关信息，同时可判别主机地址在本地还是在远程服务器中，以概览的形式呈现，让用户快速知道站点数据库所在位置及连接信息。

数据库服务器取证

数据库取证主要是对数据的固定，一种是直接调证固定整个RDS数据镜像，调证后再做数据分析；一种是导出成sql数据脚本。本次我们主要学习如何导出sql的固定方式。

1. 通过mysqldump命令行导出数据。

使用mysqldump命令导出数据为sql脚本，输入命令mysqldump -h rds地址 -u root -p --all-databases > data.sql导出所有数据库，当然也可以导出指定数据库。

2. 通过数据库连接工具导出。

这里以Navicat连接工具为例，新建一个Mysql连接，填写RDS相关信息。

需要通过SSH通道连接RDS数据库，切换到SSH标签，填写服务器的连接信息。

确保信息填写正确并连接，之后就可以对数据库进行导出操作。

取证注意事项对网站服务器取证时，除了对站点源码进行固定外，对服务的配置、日志、伪静态等相关文件也需一起固定取证。有些情况下网站服务器装了数据库，导致我们在取证时认为数据库就在本地，最稳妥的方法是要查看网站源码的配置，确认网站所使用的数据是在本地，还是其他服务器或者阿里云RDS等。数据库通过mysqldump导出时，有可能会出现ip受限的情况，对此，我们可以通过数据库连接工具连接导出。总 结

其实站库分离取证跟普通的传统网站服务器取证没有多大区别，主要是识别网站服务器相关配置及网站源码路径，通过获取到的网站源码来查看数据库配置信息，进而对数据库服务器进行数据固定。

作为网络空间安全与社会治理领域国家队，美亚柏科明星产品“云勘大师”可针对站库分离情形进行远程取证和固定，有效提高取证人员的办案效率。

云勘大师

一款用于远程主机及云主机勘验的专用设备，可快速完成对于远程服务器文件的固定工作并提取服务器系统、网站、数据库等信息，同时还可以对提取到的数据库及网站数据进行重构，有效提高取证人员的远勘效率。