이벤트 예약 웹사이트를 운영하고 #A

Statement

(A~C번 문제파일 : 2012_Secuwave F100.7z)
이벤트예약 웹사이트를 운영하고 있는 "깜짝이야"사의 관리자 앞으로 한통의 협박 메일이 도착했다. 당장 10억을 입금하지 않으면, 확보한 자사의 웹페이지 소스코드를 모두 공개할 것이며, 추가적인 위협을 가하겠다는 내용이다. 관리자는 포렌식 전문가인 당신에게 침해사고 분석을 의뢰하였다. 침해된 시스템에 남겨진 흔적과 각종 로그 파일을 분석하여 다음 사항을 밝혀내시오.
A. 공격자가 웹페이지 소스코드를 유출한 시간(UTC+09:00)은?Key format: (yyyy-MM-dd_hh:mm:ss)

Tool

Free License

FTK Imager 4.5.0.3

Commercial License

Python Library

Solution

소스코드 유출을 찾아야 함.
소스코드부터 찾아보기로 했다.
"file" 디렉토리에 관련 정보가 있다.
일단 웹페이지 소스코드의 경우 리눅스를 호스팅 서버로 쓰는 경우에
/var/www/ 경로에 지정하는 경우가 많기 때문에 이를 찾아본다
뭐가 많긴 하다. 이러한 코드 중 뭐가 유출된 것인지 알아보기 위해서 이제 유출 과정을 보도록 하겠다.