Coroner's Toolkit (TCT) Systemanalyse nach einem Einbruch

Lesenswerte Artikel, Anleitungen und Diskussionen
fritz
Systemtester
Systemtester
Posts: 1430
Joined: 2002-04-23 20:12
Location: Lehrte / Hannover

Coroner's Toolkit (TCT) Systemanalyse nach einem Einbruch

Post by fritz » 2004-02-08 06:32

ich lese gerade in der c't über das Coroner's Toolkit (TCT)
(es ist u.a. auf der Knoppix3.4 Heft-CD drauf)
http://www.porcupine.org/forensics/tct.html
Es dient der Systemanalyse nach einem Einbruch.
Ich finde es im Rootforum nicht erwähnt. Ist das so neu, oder kann man es für Rooties nicht gebrauchen?
Gruss Fritz

chris76
Moderator
Moderator
Posts: 2015
Joined: 2003-06-27 14:37
Location: Germering

Re: Coroner's Toolkit (TCT) Systemanalyse nach einem Einbruch

Post by chris76 » 2004-02-08 09:06

mmmh dann weis ich schon was ich morgen in der Frueh mach wenn ich in der Arbeit bin :) . Gleich ans Fach gehen und die ct schnappen. Ich werde mir das dann mal durchlesen.
Ciao Christian

andreask2
RSAC
Posts: 701
Joined: 2004-01-27 14:16
Location: Aachen

Re: Coroner's Toolkit (TCT) Systemanalyse nach einem Einbruch

Post by andreask2 » 2004-02-08 13:23

Hi!

Was mich etwas wundert, wieso Knoppix "3.4" ( http://heise.de/ct/04/04/124/ )?

Sowohl auf auf http://www.knopper.net/knoppix/ als auch auf den "Master" FTP-Servern finde ich keine 3.4er Version. Ja, da steht "ct-Edition" aber es ist ja auch keine 3.3er, verwendet ja schon 2.6er Kernel... oder haben die sich die ISO komplett selber zusammengebaut? Werd es mir denke ich auch holen, habe nämlich nur die 3.1er Version und die erkennt zu Hause auf meinem nForce2 Board nichtmal den 3com Netzwerk-chip, ich hoffe die 3.4er ist da etwas weiter ;-)

Grüße
Andreas

yt
Posts: 103
Joined: 2003-10-13 23:04
Location: Duisburg

Re: Coroner's Toolkit (TCT) Systemanalyse nach einem Einbruch

Post by yt » 2004-02-08 14:23

chris76 wrote:mmmh dann weis ich schon was ich morgen in der Frueh mach wenn ich in der Arbeit bin :) . Gleich ans Fach gehen und die ct schnappen. Ich werde mir das dann mal durchlesen.
Das Toolkit wirde gerade mal in einem Nebensatz erwähnt. Die CD ist aber auf jeden Fall zu gebrauchen - vor allem sind NTFS-Treiber für schreibenden(!!) Zugriff dabei, die laut c't ganz gut funktionieren sollen.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Coroner's Toolkit (TCT) Systemanalyse nach einem Einbruch

Post by Joe User » 2004-02-08 17:08

andreask2 wrote:oder haben die sich die ISO komplett selber zusammengebaut?
Jain, sollte aber irgendwo im Heft/auf der CD vermerkt sein ;)
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

andreask2
RSAC
Posts: 701
Joined: 2004-01-27 14:16
Location: Aachen

Re: Coroner's Toolkit (TCT) Systemanalyse nach einem Einbruch

Post by andreask2 » 2004-02-08 17:50

Joe User wrote:Jain, sollte aber irgendwo im Heft/auf der CD vermerkt sein ;)
Naja, ich bin mal gespannt wie die so bei mir läuft, das ganze Knoppix 3.4 zu nenne - wenn auch ct-edition - finde ich jedenfalls wirklich unverschämt, siehe:

http://mailman.linuxtag.org/pipermail/d ... 04506.html

Habe einige Postings gelesen wo Leute sagen die Version wäre sehr Buggy.


Grüße
Andreas

fritz
Systemtester
Systemtester
Posts: 1430
Joined: 2002-04-23 20:12
Location: Lehrte / Hannover

Re: Coroner's Toolkit (TCT) Systemanalyse nach einem Einbruch

Post by fritz » 2004-02-08 22:25

das Topic hier in 'Security' habe ich
Coroner's Toolkit (TCT) Systemanalyse nach einem Einbruch
genannt, und die Frage gestellt:
Ich finde es im Rootforum nicht erwähnt. Ist das so neu, oder kann man es für Rooties nicht gebrauchen?
Gruss Fritz

P.S....also vermute ich:
Die Profis konfigurieren ihre Server so sicher, dass gar nicht erst eingebrochen wird, ....und die Newbies fragen hier im Forum, was sie um Himmels Willen tun sollen, wenn der Server gehackt wurde (falls sie es überhaupt merken 8O )

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Coroner's Toolkit (TCT) Systemanalyse nach einem Einbruch

Post by dodolin » 2004-02-08 22:46

Ich finde es im Rootforum nicht erwähnt. Ist das so neu, oder kann man es für Rooties nicht gebrauchen?
Kurze Antwort: Ich hatte bisher noch nichts davon gehört. Da es recht unbekannt ist, vermute ich, dass das wohl anderen ähnlich gehen wird...

Wenn es von Wietse ist, _kann_ es eigentlich gar nicht schlecht sein. ;)
Aber es ist wohl noch nicht so ganz ausgereift, siehe "Warning" auf der Homepage, die du verlinkt hattest.

Zur Frage, ob "man" es für Rooties gebrauchen kann, würde ich mal sagen, dass es solchen Tools eigentlich immer gemeinsam ist, dass "man" sie nur mit dem nötigen Wissen sinnvoll einsetzen kann. Wie dieses Tool genau funktioniert weiß ich nicht, aber bei anderen vergleichbaren Tools ist es so, dass man ein Original-Abbild der Festplatte benötigt, z.b. mittels dd if=/dev/hda. Das wird ohne fette Anbindung + Rescue-System nicht zu machen sein, oder man benötigt die Mithilfe des ISP, der z.B. ein Abbild der Festplatte zur Verfügung stellen muss. Das wird er sicher nicht für jeden machen, sondern nur unter bestimmen Voraussetzungen...

Outlaw
Posts: 1500
Joined: 2002-12-04 10:22
Location: 4. Server von rechts, 2. Reihe von oben

Re: Coroner's Toolkit (TCT) Systemanalyse nach einem Einbruch

Post by Outlaw » 2004-02-08 23:41

Hmmmm, so wie ich das verstanden habe, soll Knoppix (zumindest die ct Version) ja eigentlich zum Fixen von Windowsrechnern sein, also für den Rootserver schon mangels Zugriffsmöglichkeit nicht zu gebrauchen, habs aber auch da, da ich die ct im ABO habe.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Coroner's Toolkit (TCT) Systemanalyse nach einem Einbruch

Post by captaincrunch » 2004-02-09 12:14

Aaaalso, mal ganz kurz dazu:

Wie dodolin schon geschrieben hatte, ist das TCT (oder sein "Nachfolger" SleuthKit http://www.sleuthkit.org/sleuthkit/index.php (das im übrigen letzten ein paar Mal durch Linux-Magazin ging)) zum größten Teil nur dann sinnvoll, wenn man ein komplettes Abbild der Festplatte besitzt.

Darüber hinaus sind besonders solche Tools relativ sinnlos, so lange man sich nicht tiefer mit der Materie beschäftigt hat. Gerade "Newbies" dürften hiermit schon deutlich überfordert sein, und sollten sich lieber darauf konzentrieren, den Server nach besten Wissen und gewissen "sicher" zu konfigurieren.

Daher halte ich von solchen Tools in bezug auf dedizierte Server herzlich wenig.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

fritz
Systemtester
Systemtester
Posts: 1430
Joined: 2002-04-23 20:12
Location: Lehrte / Hannover

Re: Coroner's Toolkit (TCT) Systemanalyse nach einem Einbruch

Post by fritz » 2004-02-09 12:23

thx an dodolin und CaptainCrunch für die Antworten zum TCT - dann weiss ich Bescheid.

Gruss Fritz

P.S. @Outlaw - die Erwähnung der c't und Knoppix hat Dich evtl. auf eine falsche Fährte gebracht. Die Systemanalyse nach einem Einbruch wollte ich gerne klären, unabhängig davon, auf welcher CD oder welchem 'Speicherort' solch eine Software oder Toolkits gerade angeboten werden.

rootmaster
RSAC
Posts: 536
Joined: 2002-04-28 13:30
Location: Hannover

Re: Coroner's Toolkit (TCT) Systemanalyse nach einem Einbruch

Post by rootmaster » 2004-02-09 14:00

dodolin wrote: Zur Frage, ob "man" es für Rooties gebrauchen kann, würde ich mal sagen, dass es solchen Tools eigentlich immer gemeinsam ist, dass "man" sie nur mit dem nötigen Wissen sinnvoll einsetzen kann. Wie dieses Tool genau funktioniert weiß ich nicht, aber bei anderen vergleichbaren Tools ist es so, dass man ein Original-Abbild der Festplatte benötigt, z.b. mittels dd if=/dev/hda. Das wird ohne fette Anbindung + Rescue-System nicht zu machen sein, oder man benötigt die Mithilfe des ISP, der z.B. ein Abbild der Festplatte zur Verfügung stellen muss. Das wird er sicher nicht für jeden machen, sondern nur unter bestimmen Voraussetzungen...
tct ist ein "alter hut" und wurde von Dan Farmer (~SATAN,COPS) und Wietse Venema (->POSTFIX) geschrieben;
es handelt sich dabei um einzelne perlscripts, die man über "masterscripts" wie lazarus oder grave-robber aufruft und die einem dann aktuelle zustände des systems (dateien und md5-summen, rechte und prozessdaten etc.) in ein verzeichnis schreiben. damit hat man ein gewisses abbild aktueller zustände und kann bei veränderungen am system zur analyse darauf zurückgreifen... im grossen und ganzen eine sehr schöne toolsammlung :)
man kann es leicht ohne schäden selbst ausprobieren: zb. debian

$ apt-get install tct
$ grave-robber /

(dann ein "bisschen" warten, bzw. "grave-robber -f" um mal generell zu sehen, was er untersucht ;))

-> /var/cache/tct/data

"back to the roots"

Outlaw
Posts: 1500
Joined: 2002-12-04 10:22
Location: 4. Server von rechts, 2. Reihe von oben

Re: Coroner's Toolkit (TCT) Systemanalyse nach einem Einbruch

Post by Outlaw » 2004-02-09 17:38

Fritz wrote:thx an dodolin und CaptainCrunch für die Antworten zum TCT - dann weiss ich Bescheid.

Gruss Fritz

P.S. @Outlaw - die Erwähnung der c't und Knoppix hat Dich evtl. auf eine falsche Fährte gebracht. Die Systemanalyse nach einem Einbruch wollte ich gerne klären, unabhängig davon, auf welcher CD oder welchem 'Speicherort' solch eine Software oder Toolkits gerade angeboten werden.
Achso, sorry, kam mir gleich so spanisch vor.

Gruß Outi

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Coroner's Toolkit (TCT) Systemanalyse nach einem Einbruch

Post by captaincrunch » 2004-02-09 18:09

Noch mal kurz zurück zum Thema:

OK, tct ist zwar ganz brauchbar, wenn's darum geht, ein Abbild des Systems und dessen Konfiguration zu erstellen, seine wirklichen Stärken kommen aber IMHO eher in der Forensik zum tragen.

Wer ein HIDS benötigt, sollte sich daher vielleicht eher Tripwire, AIDE oder Samhaim anschauen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Coroner's Toolkit (TCT) Systemanalyse nach einem Einbruch

Post by dea » 2004-02-11 11:34

Schaut Euch auch mal http://www.sleuthkit.org/ an - iirc eine Weiterentwicklung des TCT.

Ansonsten halte ich das TCT für "Pflichtprogramm" was allerdings nichts auf einem rootie, dafür sehr viel mehr auf der lokalen Workstation zu suchen hat (genauso wie nc, die Konsolen für die IDSe, usw.)

Wer sich die sagenumwobene "Security"-Ausgabe des Linux-Magazin gekauft hat wird dort (u.a.) einen sehr schönen (einführenden) Artikel über Forensik finden (iirc - ich hab' die Ausgabe grad' nicht zur Hand).