什么是宝塔面板

宝塔面板是一款提升运维效率的服务器管理软件，该面板以网页形式供运维人员使用，简单易用，支持一键进行WAMP/WNMP/IIS/LAMP/LNMP/集群/监控/网站/FTP/数据库/JAVA等100多项服务器管理功能。随着宝塔面板市场占有率的增大，当前多款涉案服务器中也常见其踪影。因此，面向宝塔面板取证的重要性日渐凸显。

面向宝塔面板取证

宝塔面板好比网站的管理后台，需要拿到管理员的登录账号及密码才能进入管理页面。在案件侦办过程中，接触到宝塔面板的频率越来越高，面向宝塔面板的取证越来越重要，因此，如何快速地在宝塔面板上找到服务器的关键数据则尤为重要。

• 面板前端数据

宝塔面板前端页面为左右栏分布。左栏是导航菜单，右栏是对应详情页。

在左侧的导航栏中网站及数据库是涉网案件中首先要关注，可以通过点击网站及数据库，获取到服务器部署的站点情况。

从网站一项中我们可以获悉网站访问域名、源码路径、配置文件等重要信息。

从数据库一项中我们可以获悉数据库名、用户名、密码及备份等重要信息。

要注意一点的是，如果不是通过面板创建出来则不会显示这些信息。以上的重要页面数据可以通过截图、录屏保存下来，或使用网页爬取工具进行自动固定。

• 面板源数据

面板前端数据还不足以应对后续分析，想要拿到源数据该怎么办？

由于面板是用于管理服务器数据，已打通服务器上的文件系统，可通过面板上的文件一项浏览服务器文件，并且可执行增删改查及打包下载的工作。因此，可以通过面板获取服务器上的原始数据。

比如我们打包网站源码，第一步可通过网站列表中点击网站根目录链接进入到源文件路径，如图：

第二步退出到上层目录选择对应文件夹进行压缩打包。

第三步就可以直接对该文件进行下载。

除了网站源码，数据库的导出也一样方便，可从数据库备份中直接下载。

有了网站与数据库，后续就能做站点重建。

• 面板目录结构

虽然给运维人员提供如此便捷的功能，但宝塔面板里并不仅仅只需要操作上述两类数据，还有更多重要的数据值得我们研究，比如网站配置文件、访问日志、终端指令记录、宝塔面板日志等。这些都可以通过源文件固定下来，因此就需要我们对宝塔面板目录结构有基础的认识。

Linux宝塔面板通过命令行默认安装，其安装目录在于/www/下，具体包含以下目录：

backup目录是用来保存备份操作后的数据，如数据库备份、网站源码备份等；

Recycle_bin目录是用来保存文件删除操作后的数据，同回收站的功能；

server目录是宝塔面板涉及服务数据目录，包括宝塔面板自身程序目录、安装的各类服务目录；

wwwlogs目录是网站日志目录，网站访问日志及错误日志默认都保存在这里；

wwwroot目录是网站源码目录，面板创建的站点默认都保存在这里。

要固定备份数据、回收站数据、日志目录及网站目录就可以统一从这些目录着手，但是数据库数据及配置文件是存放在server目录下，因为server目录文件多且结构复杂，出于固定效率考虑，建议只下载对应所需。在此，我们也展开了解server目录。如下图：

server目录会随着安装应用增加对应的程序目录，比如宝塔安装了nginx服务及mysql数据库服务，就会在增加nginx、mysql程序目录，对于数据库而言还有数据data目录。而上述提及网站配置目录则统一规划到panel子目录，其中包括虚拟站点vhost目录、重写规则目录rewrite、ssl证书目录等。

熟悉目录结构后就可以将这些数据导出到本地。

总而言之，面向宝塔面板取证，不仅可以获取页面展示的内容数据，还可以利用面板特性获取到存储在服务器上的网站及数据库的原始数据、运维人员的痕迹数据等。面板上的数据直观且操作便捷，可以很好地帮助取证人员梳理技术人员的行为活动。因此面板取证是涉网案件中重要需求，也是对取证人员的基础要求。

网捕手新版本

CN-2420 网捕手网络远程取证系统（简称网捕手）是一款针对网站、社交媒体、网页邮箱等的取证、存证及出证的一体化产品。可实现页面截图（附带 URL）、屏幕录像、实时哈希计算、生成取证报告等功能；所获取证据文件无缝对接第三方电子数据存证云平台进行哈希值存证；当需司法鉴定报告时，可在线提交申请并由具有法定资质的司法鉴定机构出具司法鉴定报告。

在新版本中，网捕手更新了多款网站取证模板，其中新增分类网页运维面板下的宝塔面板模板备受瞩目。该模板由5个勾选项组成，分别为网站、FTP、数据库、文件和下载网站文件。前三个选项分别针对宝塔面板的相应页面（即左侧导航栏中的网站、FTP和数据库页面）进行截屏固定和信息的提取，并将提取到的信息写入CSV文件中；如果页面存在多个分页，网捕手也可以完成自动翻页，不放过任何一条信息！