Coroner's Toolkit (TCT) Systemanalyse nach einem Einbruch

[fritz]

ich lese gerade in der c't über das Coroner's Toolkit (TCT)
(es ist u.a. auf der Knoppix3.4 Heft-CD drauf)
http://www.porcupine.org/forensics/tct.html
Es dient der Systemanalyse nach einem Einbruch.
Ich finde es im Rootforum nicht erwähnt. Ist das so neu, oder kann man es für Rooties nicht gebrauchen?
Gruss Fritz

[chris76]

mmmh dann weis ich schon was ich morgen in der Frueh mach wenn ich in der Arbeit bin :) . Gleich ans Fach gehen und die ct schnappen. Ich werde mir das dann mal durchlesen.
Ciao Christian

[andreask2]

Hi!

Was mich etwas wundert, wieso Knoppix "3.4" ( http://heise.de/ct/04/04/124/ )?

Sowohl auf auf http://www.knopper.net/knoppix/ als auch auf den "Master" FTP-Servern finde ich keine 3.4er Version. Ja, da steht "ct-Edition" aber es ist ja auch keine 3.3er, verwendet ja schon 2.6er Kernel... oder haben die sich die ISO komplett selber zusammengebaut? Werd es mir denke ich auch holen, habe nämlich nur die 3.1er Version und die erkennt zu Hause auf meinem nForce2 Board nichtmal den 3com Netzwerk-chip, ich hoffe die 3.4er ist da etwas weiter ;-)

Grüße
Andreas

[yt]

mmmh dann weis ich schon was ich morgen in der Frueh mach wenn ich in der Arbeit bin :) . Gleich ans Fach gehen und die ct schnappen. Ich werde mir das dann mal durchlesen.

Das Toolkit wirde gerade mal in einem Nebensatz erwähnt. Die CD ist aber auf jeden Fall zu gebrauchen - vor allem sind NTFS-Treiber für schreibenden(!!) Zugriff dabei, die laut c't ganz gut funktionieren sollen.

[Joe User]

oder haben die sich die ISO komplett selber zusammengebaut?

Jain, sollte aber irgendwo im Heft/auf der CD vermerkt sein ;)

[andreask2]

Jain, sollte aber irgendwo im Heft/auf der CD vermerkt sein ;)

Naja, ich bin mal gespannt wie die so bei mir läuft, das ganze Knoppix 3.4 zu nenne - wenn auch ct-edition - finde ich jedenfalls wirklich unverschämt, siehe:

http://mailman.linuxtag.org/pipermail/d ... 04506.html

Habe einige Postings gelesen wo Leute sagen die Version wäre sehr Buggy.


Grüße
Andreas

[fritz]

das Topic hier in 'Security' habe ich
Coroner's Toolkit (TCT) Systemanalyse nach einem Einbruch
genannt, und die Frage gestellt:

Ich finde es im Rootforum nicht erwähnt. Ist das so neu, oder kann man es für Rooties nicht gebrauchen?

Gruss Fritz

P.S....also vermute ich:
Die Profis konfigurieren ihre Server so sicher, dass gar nicht erst eingebrochen wird, ....und die Newbies fragen hier im Forum, was sie um Himmels Willen tun sollen, wenn der Server gehackt wurde (falls sie es überhaupt merken 8O )

[dodolin]

Ich finde es im Rootforum nicht erwähnt. Ist das so neu, oder kann man es für Rooties nicht gebrauchen?

Kurze Antwort: Ich hatte bisher noch nichts davon gehört. Da es recht unbekannt ist, vermute ich, dass das wohl anderen ähnlich gehen wird...

Wenn es von Wietse ist, _kann_ es eigentlich gar nicht schlecht sein. ;)
Aber es ist wohl noch nicht so ganz ausgereift, siehe "Warning" auf der Homepage, die du verlinkt hattest.

Zur Frage, ob "man" es für Rooties gebrauchen kann, würde ich mal sagen, dass es solchen Tools eigentlich immer gemeinsam ist, dass "man" sie nur mit dem nötigen Wissen sinnvoll einsetzen kann. Wie dieses Tool genau funktioniert weiß ich nicht, aber bei anderen vergleichbaren Tools ist es so, dass man ein Original-Abbild der Festplatte benötigt, z.b. mittels dd if=/dev/hda. Das wird ohne fette Anbindung + Rescue-System nicht zu machen sein, oder man benötigt die Mithilfe des ISP, der z.B. ein Abbild der Festplatte zur Verfügung stellen muss. Das wird er sicher nicht für jeden machen, sondern nur unter bestimmen Voraussetzungen...

[Outlaw]

Hmmmm, so wie ich das verstanden habe, soll Knoppix (zumindest die ct Version) ja eigentlich zum Fixen von Windowsrechnern sein, also für den Rootserver schon mangels Zugriffsmöglichkeit nicht zu gebrauchen, habs aber auch da, da ich die ct im ABO habe.

[captaincrunch]

Aaaalso, mal ganz kurz dazu:

Wie dodolin schon geschrieben hatte, ist das TCT (oder sein "Nachfolger" SleuthKit http://www.sleuthkit.org/sleuthkit/index.php (das im übrigen letzten ein paar Mal durch Linux-Magazin ging)) zum größten Teil nur dann sinnvoll, wenn man ein komplettes Abbild der Festplatte besitzt.

Darüber hinaus sind besonders solche Tools relativ sinnlos, so lange man sich nicht tiefer mit der Materie beschäftigt hat. Gerade "Newbies" dürften hiermit schon deutlich überfordert sein, und sollten sich lieber darauf konzentrieren, den Server nach besten Wissen und gewissen "sicher" zu konfigurieren.

Daher halte ich von solchen Tools in bezug auf dedizierte Server herzlich wenig.

[fritz]

thx an dodolin und CaptainCrunch für die Antworten zum TCT - dann weiss ich Bescheid.

Gruss Fritz

P.S. @Outlaw - die Erwähnung der c't und Knoppix hat Dich evtl. auf eine falsche Fährte gebracht. Die Systemanalyse nach einem Einbruch wollte ich gerne klären, unabhängig davon, auf welcher CD oder welchem 'Speicherort' solch eine Software oder Toolkits gerade angeboten werden.

[rootmaster]

Zur Frage, ob "man" es für Rooties gebrauchen kann, würde ich mal sagen, dass es solchen Tools eigentlich immer gemeinsam ist, dass "man" sie nur mit dem nötigen Wissen sinnvoll einsetzen kann. Wie dieses Tool genau funktioniert weiß ich nicht, aber bei anderen vergleichbaren Tools ist es so, dass man ein Original-Abbild der Festplatte benötigt, z.b. mittels dd if=/dev/hda. Das wird ohne fette Anbindung + Rescue-System nicht zu machen sein, oder man benötigt die Mithilfe des ISP, der z.B. ein Abbild der Festplatte zur Verfügung stellen muss. Das wird er sicher nicht für jeden machen, sondern nur unter bestimmen Voraussetzungen...

tct ist ein "alter hut" und wurde von Dan Farmer (~SATAN,COPS) und Wietse Venema (->POSTFIX) geschrieben;
es handelt sich dabei um einzelne perlscripts, die man über "masterscripts" wie lazarus oder grave-robber aufruft und die einem dann aktuelle zustände des systems (dateien und md5-summen, rechte und prozessdaten etc.) in ein verzeichnis schreiben. damit hat man ein gewisses abbild aktueller zustände und kann bei veränderungen am system zur analyse darauf zurückgreifen... im grossen und ganzen eine sehr schöne toolsammlung :)
man kann es leicht ohne schäden selbst ausprobieren: zb. debian

$ apt-get install tct
$ grave-robber /

(dann ein "bisschen" warten, bzw. "grave-robber -f" um mal generell zu sehen, was er untersucht ;))

-> /var/cache/tct/data

"back to the roots"

[Outlaw]

thx an dodolin und CaptainCrunch für die Antworten zum TCT - dann weiss ich Bescheid.

Gruss Fritz

P.S. @Outlaw - die Erwähnung der c't und Knoppix hat Dich evtl. auf eine falsche Fährte gebracht. Die Systemanalyse nach einem Einbruch wollte ich gerne klären, unabhängig davon, auf welcher CD oder welchem 'Speicherort' solch eine Software oder Toolkits gerade angeboten werden.

Achso, sorry, kam mir gleich so spanisch vor.

Gruß Outi

[captaincrunch]

Noch mal kurz zurück zum Thema:

OK, tct ist zwar ganz brauchbar, wenn's darum geht, ein Abbild des Systems und dessen Konfiguration zu erstellen, seine wirklichen Stärken kommen aber IMHO eher in der Forensik zum tragen.

Wer ein HIDS benötigt, sollte sich daher vielleicht eher Tripwire, AIDE oder Samhaim anschauen.

[dea]

Schaut Euch auch mal http://www.sleuthkit.org/ an - iirc eine Weiterentwicklung des TCT.

Ansonsten halte ich das TCT für "Pflichtprogramm" was allerdings nichts auf einem rootie, dafür sehr viel mehr auf der lokalen Workstation zu suchen hat (genauso wie nc, die Konsolen für die IDSe, usw.)

Wer sich die sagenumwobene "Security"-Ausgabe des Linux-Magazin gekauft hat wird dort (u.a.) einen sehr schönen (einführenden) Artikel über Forensik finden (iirc - ich hab' die Ausgabe grad' nicht zur Hand).