首届盘古石杯全国电子数据取证大赛 技能赛晋级赛服务器部分

MD5: FF4AB93F852B23DD759A6810754557A8

加密容器密码：usy1UN2Mmgram&^d?0E5r9myrk!cmJGr

后期服务器应该会再更新一版，全部的题解不一定会更新，估计一年内会出吧，博主马上大四了，在各种考试。

物联取证

取证软件未解析软路由物联网四块检材

仿真未检测到操作系统型号

将软路由四块检材同时选中挂载

操作系统选择linux

高级设置选择网络设置为NAT，自动重置开机密码

开始仿真

仿真后无需操作进入主界面，中文不显示，可以看到型号为openwrt。

openwrt一般使用WEB管理。首先仿真完要做的都是配置网络，使主机能连接虚拟机。

Q：为什么要第一步要配置网络，能解决一些什么问题？

A：解决像这里的中文乱码、不显示问题，可以方便的进行文件拷贝，可以进行web管理。

搜索open wrt网卡配置，可以看到网络配置在/etc/config/network里

查看现在的配置，可以看到br-lan网卡为192.168.8.20/24，同开头进来显示的IP一样，实际上玩过openwrt的知道这个IP就是第一题，他的管理IP

ip a

而且不进行网络配置之前，主机ping不通该台机器

对/etc/config/network进行编辑

vi /etc/config/network

这里只有lan这张网卡拥有配置，我们对其进行修改，保持IP不变，将其他选项修改成我们虚拟网络编辑器中的网络配置，如果一台机器有多个网络配置，我们要在虚拟机设置里，增加多张网卡后，再对网络信息进行配置，就像后面的k8s集群配置一样

查看虚拟机网络配置

a. 虚拟网络编辑器中子网IP和掩码组成的网段必须包括我们该台虚拟机，或者该段虚拟机集群的网段

b.将对应的掩码，网关，其中一个dns都设置成虚拟机网络配置中对应的值

保存，重启即可

重启后即可ping通，使用ssh连接，web访问等

开始做题

1.请给出该软路由管理的IP地址？(答案格式:192.168.1.1)(★☆☆☆☆)192.168.8.20

管理IP由前面所得，即为192.168.8.20

2.请给出该软路由管理员的密码？(答案格式:admin123!@#)(★★★☆☆) P@ssw0rd

P@ssw0rd

软路由管理密码即为服务器root密码，可以采用读 /etc/shadow的方式去爆破密码，ocr识别字符串

因为openwrt通常使用web管理，所以其网页账号密码可以保存在浏览器中，在前面检材中浏览器保存的表单可以读取到账号密码为P@ssw0rd

3.请给出阿里云WebDAV的token？(答案格式:bac123sasdew3212…)(★★☆☆☆) afc455bdc29a45b18f3bae5048971e76

afc455bdc29a45b18f3bae5048971e76

使用上一题得到的密码，登录管理后台

在 服务->阿里云盘WebDAV 可以看到token为afc455bdc29a45b18f3bae5048971e76

检材段我们无法刷新，所以答案应为这个

4.请给出该软路由所用机场订阅的token？(答案格式:bac123sasdew3212…)(★★☆☆☆) 502f6affe3c7deb071d65fb43effc06d

502f6affe3c7deb071d65fb43effc06d

该软路由服务列表中其实存在多个代理程序，但是只有这个名为ShadowSocksR Plus+的正在运行且配置了链接，链接中含有token

5.请给出该软路由数据卷的UUID？(答案格式:8adn28hd-00c0c0c0…)(★★☆☆☆) 9a89a5ec-dae6-488a-84bf-80a67388ff37

9a89a5ec-dae6-488a-84bf-80a67388ff37

在磁盘管理中我们可以看到一共由四块磁盘，对应了四个检材

可以看到卷标为data的Btrfs卷其uuid号为9a89a5ec-dae6-488a-84bf-80a67388ff37，你要问我为什么data卷是数据卷，那我也说不来

在挂载点选项，我也同样可以看到这个uuid为9a89a5ec-dae6-488a-84bf-80a67388ff37，挂载到了mnt下的data目录

6.请给出该软路由的共享路径？(答案格式:/home/data)(★★☆☆☆) /mnt/data

/mnt/data

问共享路径，那么要找共享服务，储存选项处的共享服务并没有开启

在服务->网络共享中，该服务开启，共享了名为sharedata的目录，其路径为/mnt/data

尝试连接

可以看到连接成功

其中有一个IM文件夹，不出意外就是下一题的IM服务器

至此物联取证结束

比赛的时候因为先做的集群，集群做完了发现怎么还有个服务器取证，没有检材。真的找了很久，以为在前面的pc检材中嵌套，没想到在这嵌套

服务器取证

比武的时候这块没怎么做，因为仿真起来没数据，使用vmx打开有个系统锁的东西，一直打不开

仿真windows Server 2019.vmdk没有任何相关数据

仿真Windows Server 2019-000002.vmdk进入锁界面，直接运行vmx也是进入锁界面，

对vmx文件进行检查，确定了虚拟机当前使用的镜像就是00002vmdk

经过搜索，这是veracrypt加密系统盘的结果

https://www.howtogeek.com/6169/use-truecrypt-to-secure-your-data/

对Windows Server 2019.vmdk和Windows Server 2019-000003.vmdk进行检查

Windows Server 2019.vmdk内容基本是空白，像是新建好虚拟机的一个原始环境快照

在Windows Server 2019-000003.vmdk/分区7/Users/Administrator/Documents下发现一txt文件，内有类似密码文件，密码为123w.pgscup.com

尝试使用该密码解锁vc/tc加密的0002vmdk，解锁成功，进入主界面

服务器密码在另外两个镜像中可解析得到，或者在前面检材中嵌套可得P@ssw0rd

对服务器进行定向检查，同时进行解题

先进行网络设置，对原始网络进行记录，并将网络配置修改为我们虚拟机当中与虚拟网络编辑器配置相匹配的设置

保持IP不变，将其他设置修改并保存

已经连上互联网络

在桌面发现一名为IM管理台的快捷方式

查看属性可见其文件位置与详细信息

整体结构相对不难

im_dbserver即为数据库数据

im_server即为聊天核心服务

im_webserver即为web管理程序

上网探,，网探检测到未开启远程桌面，开启远程桌面服务

网探连接

连接成功

1.请给出IM服务器的当前Build版本？(答案格式:11111)(★☆☆☆☆) 17763.379

17763.379

2.请给出IM聊天服务的启动密码？(答案格式:3w.Baidu.com)(★★★★★) 123w.pgscup.com

123w.pgscup.com

启动密码应该为进系统时vc/tc的密码，即123w.pgscup.com

3.请给出该聊天服务器所用的PHP版本？(答案格式:7.2.5)(★★★★☆) 7.4.32

4.32

在快速访问中发现最近曾编辑过php.ini，打开文件所在位置为C:\Program Files (x86)\IM Console\IM Console\im_webserver\php

结合im控制台的位置

基本确定im系统运行的目录在C:\Program Files (x86)\IM Console\IM Console下

查询php版本

版本为7.4.32

4.请给出该服务器所用的数据库类型及版本？(答案格式:Mysql 5.7.1)(★★★★★) mariadb 10.4.12

mariadb 10.4.12

5.请给出该服务器mysql数据库root账号的密码？(答案格式:3w.baidu.com)(★★★★★) www.upsoft01.com

www.upsoft01.com

在C:\Program Files (x86)\IM Console\IM Console\im_server\im_common\conf中检查到一system.ini文件

其中检得mysql的root账号密码

DBUser=root
DBPassWord=www.upsoft01.com

6.请给该IM服务器内当前企业所使用的数据库？(答案格式:admin_admin)(★★★★☆) antdbms_usdtreclub

antdbms_usdtreclub

见下题重构

7.请给出该组织“usdtreclub”内共有多少个部门（不含分区）？(答案格式:1)(★★★☆☆) 6

6

重构im服务web管理系统

连接mysql

其中可见2数据库，猜测2数据库分别对应下面两个系统

重构即时通讯总控制台

即通讯录系统控制系统，即控制通讯录系统的系统

绕过密码即可，其模块名为Ms

在Application下找到该Ms模块

其下conf文件加下的config文件并未配置数据库连接信息，推测使用的是前文的全局配置，

其数据库中的密码无法直接解密，对后台登陆进行绕过

有多语言版本，对其进行追踪

定位到登录逻辑所在地

换个方法，重构k8s的网站不同，这里使用直接将判断密码是否相等的语句注释掉，那么在登陆时，只判断用户名，很快

输入用户名点登录即可登录后台

在总控制台中可以看到当前存在一家企业，即usdtreclub，当前企业的数据库为antdbms_usdtreclub即上题的答案

重构即时通讯系统登陆

即通讯录系统的管理平台，管理内部通讯录

可见其自动填写了企业和超管用户名

且在上题知道，通讯录系统的数据库为antdbms_usdtreclub

那么找到用户表

可以看到有四个管理员，密码相同，解出为bigant@2018

是一条付费记录

可以重构，继续查找其报错

跟进

虽然有很多文件都存在这个_ACCOUNT_PASSWORD_ERROR_，但是我们要找登录判断逻辑，所以首先排除两个语言翻译文件，其次根据模块判断，现在正在home模块下，那么common模块的登录判断更有可能相关，而两个ms模块下的文件，在刚才的重构中已经使用过的，证实就是ms模块的判断，那么只剩下这个UserModel.class.php

也使用注释密码相等的判断语句来实现免密登录，全部注释掉

直接输入任意用户名就可以实现登录

这个序列号过期应该也是可以绕过的，等下看要是需要就绕过，不需要就不管了

可以看到共有6个部门

8.客户端消息传输采用哪种加密形式？(答案格式:A)(★★☆☆☆) A.AES128 B.AES256 C.DES D.Base64 B.AES256

B.AES256

可以看到当前消息传输加密采用了AES256

9.以下那个不是此系统提供的应用？(答案格式:A)(★★☆☆☆) A.云盘 B.审批 C.会议 D.考勤 D.考勤

D.考勤

可以查看到当前开启的应用，当前未开启考勤

10.请给出“ 2023-04-11 21:48:14”登录成功此系统的用户设备Mac地址？(答案格式:08-AA-33-DF-1A)(★★★☆☆) 80-B6-55-EF-90-8E

80-B6-55-EF-90-8E

导出excel进行查询，该时间2023-04-11 21:48:14只有一条退出的记录，mac为80-B6-55-EF-90-8E

11.请给出用户“卢正文”的手机号码？(答案格式:13888888888)(★★★★☆) 13580912153

13580912153

直接查找其手机号为13580912153

做下来，感觉难度星星都是虚标的，只有启动密码稍有难度，其他其实就是后台的翻找查看，怎么第7题-第11题同样都是再后台翻找检查，其难度给的都不一样。

集群服务器取证

先跑取证软件

很多不识别，意料之中

仿真起动三台服务器，在仿真k8s集群时，需要多分一点内存，推荐5g网上，防止应用在仿真时出错

网卡选用NAT模式，以便虚拟网络编辑器分配网络，同时使三台主机相互之间可以访问

三台主机都按此进行仿真

可以看到三台主机的IP和网段，因为我虚拟网络编辑器的网段是192.168.0.0/16,但是仿真起来他这是网段是192.168.91.171/24，所以看起来没有开dhcp

cat /etc/hosts

查看IP映射表，与三台主机当前IP相对应

我们接下来将他们的IP配成static，保持原IP不变，需要将网卡配置修改成与我们虚拟网络编辑器NAT配置中相对应

vi /etc/sysconfig/network-scripts/ifcfg-ens33 

但是我是手打的，在vi /etc/sysconfig/network-scripts/ifcfg-ens3时按tab补全时发现，该台机器存在两张网卡

分别为ens33 和ens34

那么在配置时需要同时使这两张网卡生效

在虚拟机配置栏再添加一张nat网卡，重新打开

配置第一张网卡，模式已经是static了，将prefix和gateway和dns1都修改成你当前虚拟网络编辑器的配置

但是该配置需要当前网段包含两张网卡所在的网段即包含192.168.91.0/24和192.168.8.0/24，所以我直接配个192.168.0.0/16是绝对没啥问题的

修改后

ens34

修改后

查看网卡，新添加的网卡识别出来为ens37

将ifcfg-ens34中的device和name都修改成ens37

vi /etc/sysconfig/network-scripts/ifcfg-ens34

再分别将ifcfg-ens34 文件名修改为ifcfg-ens37

mv /etc/sysconfig/network-scripts/ifcfg-ens34 /etc/sysconfig/network-scripts/ifcfg-ens37

将三台机器，每台机器的两张网卡都按此操作，并确保都添加了两张网卡，全部重启一遍，确保所有配置更改都生效

重启后主机即能ping通三台主机

进行ssh连接，master连不上，查看ssh配置，发现端口为2282，其他两台正常

vi /etc/ssh/sshd_config

查看历史命令，发现两个node还需使用nfs将master的/www挂载到本地/www

两台主机按其挂载的方式进行挂载

检查node和pod是否正常

kubectl get nodes -o widekubectl get pod --all-namespaces

所有node均ready，kefu、licai、shuadan的所有pod均ready，集群重构至此基本结束，进行取证分析

1.请给出集群master节点的内核版本？(答案格式:2.6.0-104.e11.x86_64)(★☆☆☆☆) 3.10.0-957.el7.x86_64

0-957.el7.x86_64

2.请给出该集群的pod网络？(答案格式:192.168.0.0/24)(★★★★☆) 10.244.0.0/16

244.0.0/16

查看当前k8s集群中 pod 和 service 网段信息

kubectl get configmap kubeadm-config -n kube-system -o yaml

podSubnet: 10.244.0.0/16

3.请给出该集群所用的网络插件？(答案格式:abcd)(★★☆☆☆) calico

calico

kubectl get pod --all-namespaces

4.默认ns除外，本集群共有多少个ns？(答案格式:1)(★★★☆☆) 8

8

kubectl get namespaces

查看所有namespace

5.请给出该集群的集群IP？(答案格式:192.168.0.0)(★★☆☆☆) 192.168.91.171

192.168.91.171

kubectl cluster-info

查看集群信息

6.请给出该ns为“licai”svc为“php-svc”的访问类型？(答案格式:Abc)

(★★☆☆☆) NodePort

NodePort

kubectl get svc --all-namespaces

查看所有service

7.请给出ns为“shuadan”下的的PHP版本？(答案格式:1.1)(★★★★★) 7.2

2

kubectl describe pods php-deploy-7d9648677d-dbm66 -n shuadan# 或者搜索一下其中的php关键词kubectl describe pods php-deploy-7d9648677d-dbm66 -n shuadan | grep php

8.请给出本机集群所使用的私有仓库地址？(答案格式:192.168.0.0)(★★★★☆) 192.168.8.12

192.168.8.12

当前版本k8s使用的是Docker来构建集群，可以直接查看docker的配置文件

cat /etc/docker/daemon.JSON 

[root@master ~]# cat /etc/docker/daemon.json {  "reGIStry-mirrors": ["Https://jzjp9481.mirror.aliyuncs.com"],# 阿里云加速镜像  "insecure-registries":["192.168.8.12"]#私有仓库地址}

也可以查看根目录下有一个.docker文件夹

其中包含了私有仓库的地址和认证tocken

9.接上题，请给出登录该私有仓库所用的token？(答案格式:bae213ionada21…)(★★★★★) dXNlcjozVy5wZ3NjdXAuY29t

dXNlcjozVy5wZ3NjdXAuY29t

继上题

cat /root/.docker/config.json 

10.请给出“licaisite”持久化存储的大小？(答案格式:10G)(★★☆☆☆) 6G

6G

kubectl get pv

查看所有pv卷

11.接上题，请给出对应的存储持久化声明名称？(答案格式:abc-abc)(★★★☆☆) licaisite-pvc

licaisite-pvc

同上题

kubectl get pv

k8s面板安装解法

可以直接安装一个k8s的可视化面板，以上的题目基本上能很快的找到，这里以kuboard面板为例

在master上安装kuboard服务

kubectl apply -f https://kuboard.cn/install-script/kuboard.yaml

在master输入以下字符串获取token

访问任意节点的32567端口

输入token

前面的题目基本上比较快的从面板上找到答案，面板都是中文的，使用比较简单，不再做更详细的介绍

12.请给出集群内部署网站所使用数据库的IP地址和端口号？(答案格式:192.168.0.0:8080)(★★★☆☆) 61.150.31.142:3306

150.31.142:3306

网站源码在连接数据库时，一定会使用数据库配置文件，根据前面集群搭建时对集群检查发现master根目录下存在/www，对其进行检查，是licai、shuadan、kefu三个站的源码，对源码进行检查，在其中发现数据库配置文件

cat /www/site/kefu/config/database.php

既然题目这么问，那么三个站的数据库应该都是一样的，对三个站的数据库链接文件进行检查，发现确实是一样的

13.请给出网站“vip.kefu.com”所使用的端口号？(答案格式:8080)(★★☆☆☆) 8083

8083

cat /www/site/kefu/public/index.php

也可以查看日志

14.请给出网站“vip.shuadan.com”连接数据库所使用的账号和密码？(答案格式root/password)(★★★★★) vip.shuadan.com/nFRrSNh6Msnbtpay

vip.shuadan.com/nFRrSNh6Msnbtpay

cat /www/site/shuadan/config/database.php

数据库配置文件处于加密状态

对其进行解密

15.请给出调证数据库的版本号？(答案格式5.7.1)(★★★★★) 5.6.50

50

\数据库\data\localhost.log

16.请给出刷单网站客服域名？(答案格式:http://www.baidu.com:8080/login.html)(★★★★★) vip.kefu.com

vip.kefu.com

本地重构刷单网站

将网站源码导出到本地，将数据库在本地还原

在本地起一个版本相同或相近的数据库

打开数据库文件位置

将整个data替换进来

绕过登录密码

启动数据库，连接数据库查看

所有数据表访问正常

创建网站，域名按原来的域名，根据log文件的文件名进行命令

打开根目录将源码拷贝到我们搭建的站点中

因为网站的运行目录在public下，可根据ico和index文件位置判断，我们将运行目录设置到public下

配置一个伪静态规则

Options +FollowSymlinks -MultiviewsRewriteEngine on RewriteCond %{REQUEST_FILENAME} !-dRewriteCond %{REQUEST_FILENAME} !-fRewriteRule ^(.*)$ index.php?/$1 [QSA,PT,L]

伪静态规则

直接对源码经常重构经常会碰到的就是伪静态规则有问题导致一些页面无法正常显示

注意可以切换Nginx和apache中间件

这里使用什么都可以，中间件和伪静态规则对应即可，这里因为原来服务使用的时nginx，使用nginx重构会比较好，但是我就是要用apache，一套下来基本没有大的差别，或者都是小问题，比重构到一般切换中间件更好解决的小问题

同时nginx一般配以下的伪静态

   if (!-e $request_filename) {   rewrite  ^(.*)$  /index.php?s=/$1  last;   break;    }

apache一般配以下的伪静态

Options +FollowSymlinks -MultiviewsRewriteEngine on RewriteCond %{REQUEST_FILENAME} !-dRewriteCond %{REQUEST_FILENAME} !-fRewriteRule ^(.*)$ index.php?/$1 [QSA,PT,L]

访问该站即重构完成

理财的客服域名，登录后台查看

在application中可以看到，后台的入口为admin_2019

绕过登录密码，数据库中admin账号无法直接解出且id为8，weiliang用户id为1且密码可以解出，为123456，直接使用weiliang用户登录后台

登录普通用户，可在个人中心看到在线客服选项

vip.kefu.com

17.请给出理财客服系统用户“admin”共有多少个会话窗口？(答案格式:123)(★★★★★) 8

8

以方法讲解为主，这里一定是正确答案，因为前面再仿真重构过程中我也有打开了客服交流窗口，以大家自行搭建起来，没有打开客服窗口时看到的个数为准。

本地重构理财网站

在前面的基础上，重构理财网站

查看理财站原域名vip.usdtre.club

创建一个该名称的新网站

打开根目录位置，将源码导入

当前目录即为网站运行目录

index.php的数据库配置无需修改

conf下的数据库修改为本机

设置伪静态

设置合适的php版本

网站重构完成

登录普通用户查看

后台

进入后台时需要输入验证的密钥

在index中有定义该密钥

具体后台地址可以到日志中查找详细地址

后台登录密码绕过

查询数据库中的加密字符串无结果

查询报错

密码为密码的md5值

原加密密钥串：902ae5671f72c85310a511085cd485b0

构造加密密钥串

md5（123456）

e10adc3949ba59abbe56e057f20f883e

后台登陆成功

本地重构客服网站

在前面的基础上，重构客服网站

根据客服网站的日志，按原始的域名创建一个新站，同时设置端口为原来的端口vip.kefu.com:8083

拷贝源码文件

设置网站运行目录为public

将数据库地址修改到本地

设置伪静态规则

访问即可进入后台

绕过登陆密码

搜索字符串

追踪加密

    public function getEncryptPassword($password, $salt = '')    {        $password = md5(md5($password) . $salt);        return $password;    }

双层md5，第一次md5后加上用户名作为盐值在进行一次md5

旧密码：92254023d5310ac778385e6dc4ea0569

双层md5生成新密码，替换数据库中原密钥

123456

c7122a1349c22cb3c009da3613d242ab

成功登录后台

选择理财系统的客服

打开

数据库查找该理财客服的账号密码

无法直接查询到密码，继续绕过

查询报错

加密方式为

$pass = md5($post['user_name'] . "hjkj" . $post['password']);

将用户名和hjkj和密码拼接后进行一次md5操作

原加密密钥：abf5807a649e408f08198b5f0727ad16

生成字符串：

123456

md5（adminhjkj123456）

d8f7c2d2775869fb69b8757edcf6ae4f

登陆成功

会话窗口即当前咨询用户数为8人

以方法讲解为主，这里一定是正确答案，因为前面再仿真重构过程中我也有打开了客服交流窗口，以大家自行搭建起来，没有打开客服窗口时看到的个数为准。

18.刷单客服是嵌套在刷单源码下那个文件内，请给出该文件在网站源码内的目录和文件名？(答案格式:www.baidu.com:8080/login.html)(★★★★★) /www/site/shuadan/application/index/view/user/user.html

/www/site/shuadan/application/index/view/user/user.html

继16题，可见当前路径为/index/user/index

按thinkphp的规则以及搜结果可以判断该文件位置为

/www/site/shuadan/application/index/view/user/user.html

19.请统计出刷单网站后台累计提现成功的金额？(答案格式:1000)(★☆☆☆☆) 7611

7611

20.请给出受害人上级的电话号码？(答案格式:13888888888)(★★★☆☆) 18671068082

18671068082

受害人张娟

查找张娟，其上级为一个用户名叫xdl123的用户

手机号打码了，在数据库中搜索该用户名

18671068082

21.请给出刷单网站受害人加款的时间（北京时间）？(答案格式:2023-05-06 14:00:00)(★★★☆☆) 2023-04-12 14:57:32

2023-04-12 14:57:32

查询明细

加款时间为2023-04-12 14:57:32

22.该理财网站曾经被挂马，请给出上传木马者的IP？(答案格式:192.168.10.10)(★★★☆☆) 103.177.44.10

103.177.44.10

对理财网站扫描木马

在\www\site\shuadan\public\uploads下发现木马1.php，因该木马在上传目录下，更有可能是攻击者上传的，其他的更像是管理工具

这个马是穿在刷单站下的，并不是题目说的理财站，要么是我没有找到

在刷单站的日志中，103.177.44.10这个IP集中出现在最后，对1.php进行操控，其他地方未见该IP

理财站的日志中没有对php文件的操作

23.接上题，请找到此木马，计算该木马的md5？(答案格式:123dadgadad332…)(★★★☆☆) 182b23b83115459b4cbe5bb1e5a3c5f5

182b23b83115459b4cbe5bb1e5a3c5f5

该可疑木马的md5

182B23B83115459B4CBE5BB1E5A3C5F5

24.请统计该投资理财平台累计交易额为多少亿？(答案格式:1.8)(★★☆☆☆) 1.42

42

累计交易额为1.42亿

25.请给出该虚拟币投资平台内用户“李国斌”的银行卡号？(答案格式:622222222222222)(★★★☆☆) 6212260808001710173

6212260808001710173

后台没搜到

到数据库中找一张包含银行卡号的表

数据比较多就select一下，选好各种平台的sql语言、hsql、图数据库语言很重要，就算后台搭不起来，还能面向数据库做题

26.分析该虚拟币投资平台财务明细表，用户“13912345678”共支出多少钱（cnc）, 结果保留两位小数？(答案格式:10000.00)(★★★★★) 9186.24

9186.24

后台进行查询

共有两页25条数据，可以直接口算

也可以将整个表复制到excel里进行筛选求和

也可以到数据库中，对应好收入和支出进行查询

但是要注意其支出的定义，不要重复计算

按我的理解其中有4笔订单是撤销交易的，那么委托的订单也不能算入支出，撤销的金额也不要算入支出，即有撤销的话两笔订单价都不能计入支出的范围

以及其他都是委托，有两单交易成功

那么以交易成功计算为支出、委托金额计算为在余额中进行冻结的话，那么支出46.33629

交易成功支出也是从原始委托的金额里出的，只要计算原始委托的支出，但是随着市场价格的波动，一般买入的价格并不会刚好是委托的价格，那么观察其余额、冻结之间的关系，可以推断出，当购买成功时，价格未超出委托金额，未交易的部分原路退回余额。即有成功交易的支出，即计算交易成功的金额，未交易成功，进行委托的交易，计算委托冻结的钱。

这样算支出为9676.659493

可以观察委托交易和充值两种状态的余额变化，委托交易余额减少，充值虽然在支出这个栏目下，但是充值使与额增加，按照上面两条规则的话，余额增加，相当于平台给余额打钱，相当于是收入

按以上这三条规则计算则该用户共支出9176.659493

纯成功买入支出46.33629

成功买入支出+当前委托9676.659493

成功买入支出+当前委托-充值成功9176.659493

具体取决于对支出的理解

总结

集群服务器部分到此结束，网站重构部分是基于将网站文件导出来做的，这就是我比武时的做法，这样感觉快，也没啥毛病。整个重构逻辑是简单的，起站点，进后台，绕密码，就是三个站点，有点多，但是方法还是基本方法。还没有仔细研究k8s内域名怎么解析进去，后面还会出一版k8s内直接做的。集群服务器的难点在于k8s如何启动，以及添加两张网卡进行网络配置。如果使用集群管理工具，前面的题目时相对简单的。后面将源码文件导出，也就是传统的网站重构的范畴。

有问题欢迎交流。

引用备注来源，浙江警察学院@Zodi4C#grignard

来源地址：https://blog.csdn.net/Grignard_/article/details/130592473