网站地图    收藏   

主页 > 系统 > linux系统 >

系统遭受入侵后使用TCT进行紧急恢复并分析 - L

来源:自学PHP网    时间:2015-04-14 11:51 作者: 阅读:

[导读] 从事系统管理工作,就算你非常小心翼翼地做好了一切防护,还是可能有入侵者能够突破你 的防护进入系统,并且更改或者删除一些文件。这里,我们借用honeynet project里面的一些实 例...

 从事系统管理工作,就算你非常小心翼翼地做好了一切防护,还是可能有入侵者能够突破你 
的防护进入系统,并且更改或者删除一些文件。这里,我们借用honeynet project里面的一些实 
例,来对一个unix下的实用工具软件tct及其相关辅助软件做简要说明。并且在最后再介绍另外 
一个比较不错的能恢复ext2文件系统的软件recover。 
    首先说一下相关的软件: 
    1、The Coroners Toolkit:也就是我们所说的TCT,想要在国内下载的话,您可以到安全焦 
点(http://xfocus.org/tool/other/tct-1.07.tar.gz)下载。这是一个unix下的命令行文件系统 
工具集,支持FFS及ext2fs,从块及结点处来对数据进行恢复。它能够针对文件的最后修改、访 
问或者改变(MAC)的时间来进行分析,并且根据数据节点的值提取出文件列表以进行恢复。 
    2、TCTUTILs:在http://xfocus.org/tool/other/tctutils-1.01.tar.gz可以下载当前最新 
版本。它是对TCT的补充,提供了根据文件名对数据进行恢复的命令行工具。这两个工具都需要 
使用者对一些底层基本知识比较了解。 
    3、Autopsy Forensic Browser:可以从http://xfocus.org/tool/other/autopsy-1.01.tar.gz 
下载。它提供了一个友好的html界面给tct及tctutils。它能使枯燥的分析工作相对轻松些:) 

    一、安装:TCT在各种unix平台下都经过了比较好的测试。现在能够支持FreeBSD、OpenBSD、 
SunOS、Linux等平台。TCTUTILs和Autopsy则不一定能跑得起来,我测试的平台是一台默认安装 
的Red Hat 6.2系统。 

    1、tct 

    # tar zvfx tct-1.07.tar.gz -C /usr/local/tct/; cd /usr/local/tct/tct*; make 
    这样把tct展开到/usr/local/tct/tct-1.07/的目录下,并且进入,make。这里,如果是make 
过之后,需要重新在编译的话,需要运行perl reconfig命令重新配置。 

    2、tctutils: 

    # tar zvfx tctutils-1.01.tar.gz -C /usr/local/tct;cd /usr/local/tct/tctu*;make 
    现在tctutils似乎只在OpenBSD 2.8、Debian Linux 2.2、Solaris 2.7下经过详尽测试,而 
对FreeBSD还支持不好。通常make不会出现什么问题,如果有,自己改下代码或者Makefile即可。 

    3、Autopsy: 

    解包后运行./configure后,它会自己寻找一些实用工具如grep、strings、md5sum的路径, 
并要求确认tct以及tctutils的路径(如果没找到会要求你输入正确路径)。最后要求输入需要检 
查的文件系统所在,才生成程序autopsy。 

    二、honeynet scan15简介: 

    关于honeynet project的详情,可以参见安全焦点(http://xfocus.org/honeynet/),他们 
现在维护着国外honeynet项目的中文镜像。 
    scan15是honeynet在2001年3月15日于一台受入侵的Linux机器上搜集到的数据而面临的问题。 
入侵者下载了一些rootkit放在根目录下,成功安装后删除了。而honeynet project将当时的原始 
数据镜像下来,作为题目出给网络安全爱好者,要求对这一被删除的rootkit进行恢复。 
    详情可以参见http://xfocus.org/honeynet/scans/。 
    根据要求,我下载了honeynet.tar.gz的包,约13M,解压后是一个270M左右的文件honeypot.hda8.dd 
及一个README文件,README如下: 

    =================================================================== 

    SUMMARY 
    ------- 
    You have download the / partition of a compromised RH 6.2 
    Linux box.  Your mission is to recover the deleted rootkit 
    from the / partition.   Below are a list of all the partitions 
    that made up the compromised system. 

    /dev/hda8       /      <----- The partition you downloaded 
    /dev/hda1       /boot 
    /dev/hda6       /home 
    /dev/hda5       /usr 
    /dev/hda7       /var 
    /dev/hda9       swap 

           - The Honeynet Project 
             http://project.honeynet.org 

    ==================================================================== 
            图一 

    任务非常明确。 

    三、操作过程 

    1、确认下载数据无误 

    # md5sum honeynet.tar.gz 
    0dff8fb9fe022ea80d8f1a4e4ae33e21 honeynet.tar.gz 
    # md5sum honeypot.hda8.dd 
    5a8ebf5725b15e563c825be85f2f852e honeypot.hda8.dd 

    这些md5校验值同honeynet网站上贴出来的一样,说明文件下载无误,未经篡改。 

    2、将下载下来的镜像挂接到系统上 

    # mount honeypot.hda8.dd /mnt/ -oloop,ro 
     
    3、配置autopsy并运行之(其实在上面autopsy的configure过程中就做这步了) 

    ==================================================================== 
    [root@test autopsy-1.01]# ./configure 
       Autopsy Forensic Browser v.1.01 Installation 
    MD5 found: /usr/bin/md5sum 
    strings found: /usr/bin/strings 
    grep found: /bin/grep 
    Enter TCT Directory: 
    /usr/local/tct 
      TCT bin directory was found 
    Enter TCTUTILs Directory: 
    /usr/local/tctutils 
     TCTUTILs bin directory was found 
    Enter Morgue Directory: 
    /home/inburst       
    Enter Default Investigator Name (for the Autopsy Reports): 
    inburst 
    Settings saved to conf.pl 
    [root@test autopsy-1.01]# 
    ==================================================================== 
                图二 

    然后进入/home/inburst/,你存放honeypot.hda8.dd的地方,编辑文件fsmorgue,使其看来象 
下面这样: 

    ==================================================================== 
    # fsmorgue file for Autopsy Forensic Browser 
    # 
    # local_file name can contain letters, digits, -, _, and . 
    # 
    # local_file    mount_point 
    honeypot.hda8.dd        /mnt/ 
    ==================================================================== 
               

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论