系统遭受入侵后使用TCT进行紧急恢复并分析

来源：Linux-cn.com 作者：Webmaster 时间：2007-05-05 点击： [收藏] [投稿]

　　从事系统管理工作，就算你非常小心翼翼地做好了一切防护，还是可能有入侵者能够突破你的防护进入系统，并且更改或者删除一些文件。这里，我们借用honeynet project里面的一些实例，来对一个unix下的实用工具软件tct及其相关辅助软件做简要说明。并且在最后再介绍另外一个比较不错的能恢复ext2文件系统的软件recover。

　　首先说一下相关的软件：

　　1、The Coroners Toolkit：也就是我们所说的TCT，想要在国内下载的话，您可以到安全焦点(http://xfocus.org/tool/other/tct-1.07.tar.gz)下载。这是一个unix下的命令行文件系统工具集，支持FFS及ext2fs，从块及结点处来对数据进行恢复。它能够针对文件的最后修改、访问或者改变(MAC)的时间来进行分析，并且根据数据节点的值提取出文件列表以进行恢复。

　　2、TCTUTILs：在http://xfocus.org/tool/other/tctutils-1.01.tar.gz可以下载当前最新版本。它是对TCT的补充，提供了根据文件名对数据进行恢复的命令行工具。这两个工具都需要使用者对一些底层基本知识比较了解。

　　3、Autopsy Forensic Browser：可以从http://xfocus.org/tool/other/autopsy-1.01.tar.gz 下载。它提供了一个友好的html界面给tct及tctutils。它能使枯燥的分析工作相对轻松些:)

　　一、安装：TCT在各种unix平台下都经过了比较好的测试。现在能够支持FreeBSD、OpenBSD、 SunOS、Linux等平台。TCTUTILs和Autopsy则不一定能跑得起来，我测试的平台是一台默认安装的Red Hat 6.2系统。

　　1、tct

# tar zvfx tct-1.07.tar.gz -C /usr/local/tct/; cd /usr/local/tct/tct*; make

　　这样把tct展开到/usr/local/tct/tct-1.07/的目录下，并且进入，make。这里，如果是make 过之后，需要重新在编译的话，需要运行perl reconfig命令重新配置。

　　2、tctutils:

# tar zvfx tctutils-1.01.tar.gz -C /usr/local/
tct;cd /usr/local/tct/tctu*;make

现在tctutils似乎只在OpenBSD 2.8、Debian Linux 2.2、Solaris 2.7下经过详尽测试，而对FreeBSD还支持不好。通常make不会出现什么问题，如果有，自己改下代码或者Makefile即可。

　　3、Autopsy：

　　解包后运行./configure后，它会自己寻找一些实用工具如grep、strings、md5sum的路径，并要求确认tct以及tctutils的路径(如果没找到会要求你输入正确路径)。最后要求输入需要检查的文件系统所在，才生成程序autopsy。

　　二、honeynet scan15简介：

　　关于honeynet project的详情，可以参见安全焦点(http://xfocus.org/honeynet/)，他们现在维护着国外honeynet项目的中文镜像。

　　scan15是honeynet在2001年3月15日于一台受入侵的Linux机器上搜集到的数据而面临的问题。

　　入侵者下载了一些rootkit放在根目录下，成功安装后删除了。而honeynet project将当时的原始数据镜像下来，作为题目出给网络安全爱好者，要求对这一被删除的rootkit进行恢复。

　　详情可以参见http://xfocus.org/honeynet/scans/。

　　根据要求，我下载了honeynet.tar.gz的包，约13M，解压后是一个270M左右的文件honeypot.hda8.dd

　　及一个README文件，README如下：

 
SUMMARY 
------- 
You have download the / partition of a compromised RH 6.2 
Linux box. Your mission is to recover the deleted rootkit 
from the / partition. Below are a list of all the partitions 
that made up the compromised system. 

/dev/hda8 / <----- The partition you downloaded 
/dev/hda1 /boot 
/dev/hda6 /home 
/dev/hda5 /usr 
/dev/hda7 /var 
/dev/hda9 swap 

- The Honeynet Project 
http://project.honeynet.org

　　任务非常明确。

　　三、操作过程

　　1、确认下载数据无误


# md5sum honeynet.tar.gz 
0dff8fb9fe022ea80d8f1a4e4ae33e21 honeynet.tar.gz 
# md5sum honeypot.hda8.dd 
5a8ebf5725b15e563c825be85f2f852e honeypot.hda8.dd

　　这些md5校验值同honeynet网站上贴出来的一样，说明文件下载无误，未经篡改。

　　2、将下载下来的镜像挂接到系统上


# mount honeypot.hda8.dd /mnt/ -oloop,ro

　　3、配置autopsy并运行之(其实在上面autopsy的configure过程中就做这步了)

 
[root@test autopsy-1.01]# ./configure 
Autopsy Forensic Browser v.1.01 Installation 
MD5 found: /usr/bin/md5sum 
strings found: /usr/bin/strings 
grep found: /bin/grep 
Enter TCT Directory: 
/usr/local/tct 
TCT bin directory was found 
Enter TCTUTILs Directory: 
/usr/local/tctutils 
TCTUTILs bin directory was found 
Enter Morgue Directory: 
/home/inburst 
Enter Default Investigator Name (for the Autopsy Reports): 
inburst 
Settings saved to conf.pl 
[root@test autopsy-1.01]#

　　然后进入/home/inburst/，你存放honeypot.hda8.dd的地方，编辑文件fsmorgue,使其看来象下面这样：

如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<

上一篇：用LIDS增强系统安全下一篇：ssh软件包：Sftp,scp和ssh-agent

【文章评论】【收藏本文】【推荐好友】【打印本文】【我要投稿】【论坛讨论】

更多相关文章

·Motorola微处理器bootloader分析与应用

·Fedora Core5 NFS服务器搭建过程介绍

·Linux系统：让内存不再泄漏的实用技巧

·新手看招手把手教你安装VMware虚拟机

·“侵权事件” 红帽称微软企图干扰用户

·删除Linux后如何找回Windows启动菜单

·菜鸟乐园 Linux中常见文件系统格式介绍

·Linux操作系统下IPTables配置方法详解

·实用技巧 Linux系统的经典使用技巧八则

·Linux系统文件优化及磁盘检查方法介绍