So überprüfen Sie mit Tiger auf Rootkits unter Linux

Sind Sie besorgt, dass Sie möglicherweise ein Rootkit auf Ihrem Linux-Server, -Desktop oder -Laptop haben? Wenn Sie überprüfen möchten, ob Rootkits auf Ihrem System vorhanden sind oder nicht, und diese entfernen möchten, müssen Sie zuerst Ihr System scannen. Eines der besten Tools zum Scannen nach Rootkits unter Linux ist Tiger. Wenn es ausgeführt wird, erstellt es einen vollständigen Sicherheitsbericht Ihres Linux-Systems , der umreißt, wo die Probleme liegen (einschließlich Rootkits).

In diesem Handbuch erfahren Sie, wie Sie das Tiger-Sicherheitstool installieren und nach gefährlichen Rootkits suchen.

Tiger installieren

Tiger wird nicht mit standardmäßigen Linux-Distributionen geliefert. Bevor wir uns also mit der Verwendung des Tiger-Sicherheitstools unter Linux befassen, müssen wir uns mit der Installation befassen. Sie benötigen Ubuntu, Debian oder Arch Linux , um Tiger zu installieren, ohne den Quellcode zu kompilieren.

Ubuntu

Tiger ist seit langem in den Ubuntu-Softwarequellen enthalten. Um es zu installieren, öffnen Sie ein Terminalfenster und führen Sie den folgenden apt- Befehl aus.

sudo apt installieren tiger

Debian

Debian hat Tiger und kann mit dem Befehl Apt-get install installiert werden.

sudo apt-get install Tiger

Arch Linux

Die Tiger-Sicherheitssoftware befindet sich unter Arch Linux über den AUR. Führen Sie die folgenden Schritte aus, um die Software auf Ihrem System zu installieren.

Schritt 1: Installieren Sie die erforderlichen Pakete, um AUR-Pakete von Hand zu installieren. Diese Pakete sind Git und Base-devel.

sudo pacman -S git base-devel

Schritt 2: Klonen Sie den Tiger AUR-Snapshot mit dem Befehl git clone auf Ihren Arch-PC .

git-Klon https://aur.archlinux.org/tiger.git

Schritt 3: Verschieben Sie die Terminalsitzung aus ihrem Standardverzeichnis (Home) in den neuen Tiger- Ordner, der die pkgbuild-Datei enthält.

CD-Tiger

Schritt 4: Generieren Sie ein Arch-Installationsprogramm für Tiger. Das Erstellen eines Pakets erfolgt mit dem Befehl makepkg , aber Vorsicht: Manchmal funktioniert die Paketgenerierung aufgrund von Abhängigkeitsproblemen nicht. Wenn Ihnen dies passiert, überprüfen Sie die offizielle Tiger AUR-Seite auf die Abhängigkeiten. Lesen Sie unbedingt auch die Kommentare, da andere Benutzer möglicherweise Einblicke haben.

makepkg -sri

Fedora und OpenSUSE

Leider haben sowohl Fedora, OpenSUSE und andere RPM/RedHat-basierte Linux-Distributionen kein einfach zu installierendes Binärpaket, um Tiger zu installieren. Um es zu verwenden, sollten Sie das DEB-Paket mit alien konvertieren . Oder befolgen Sie die folgenden Quellcode-Anweisungen.

Generisches Linux

Um die Tiger-App aus dem Quellcode zu erstellen, müssen Sie den Code klonen. Öffnen Sie ein Terminal und gehen Sie wie folgt vor:

git-Klon https://git.savannah.nongnu.org/git/tiger.git

Installieren Sie das Programm, indem Sie das mitgelieferte Shell-Skript ausführen.

sudo ./install.sh

Wenn Sie es alternativ ausführen möchten (anstatt es zu installieren), gehen Sie wie folgt vor:

sudo ./tiger

Unter Linux nach Rootkits suchen

Tiger ist eine automatische Anwendung. Es hat keine eindeutigen Optionen oder Schalter, die Benutzer in der Befehlszeile verwenden können. Der Benutzer kann nicht einfach die Option "Rootkit ausführen", um nach einer zu suchen. Stattdessen muss der Benutzer Tiger verwenden und einen vollständigen Scan ausführen.

Jedes Mal, wenn das Programm ausgeführt wird, scannt es viele verschiedene Arten von Sicherheitsbedrohungen auf dem System. Sie können alles sehen, was gescannt wird. Einige der Dinge, die Tiger scannt, sind:

• Linux-Passwortdateien.
• .rhost-Dateien.
• .netrc-Dateien.
• ttytab-, securetty- und Login-Konfigurationsdateien.
• Gruppendateien.
• Bash-Pfadeinstellungen.
• Rootkit-Prüfungen.
• Cron-Starteinträge.
• „Einbruch“-Erkennung.
• SSH-Konfigurationsdateien.
• Hörprozesse.
• FTP-Konfigurationsdateien.

Um einen Tiger-Sicherheitsscan unter Linux auszuführen, erhalten Sie eine Root-Shell mit dem Befehl su oder sudo -s .

su -

oder

sudo -s

Führen Sie mit Root-Rechten den Befehl tiger aus , um die Sicherheitsüberprüfung zu starten.

Tiger

Lassen Sie den Tiger- Befehl laufen und durchlaufen Sie den Audit-Prozess. Es druckt aus, was es scannt und wie es mit Ihrem Linux-System interagiert. Lassen Sie den Tiger-Auditprozess seinen Lauf nehmen; es druckt den Standort des Sicherheitsberichts im Terminal aus.

Tiger Logs anzeigen

Um festzustellen, ob Ihr Linux-System über ein Rootkit verfügt, müssen Sie den Sicherheitsbericht anzeigen.

Um einen Tiger-Sicherheitsbericht anzuzeigen, öffnen Sie ein Terminal und verwenden Sie den CD- Befehl, um nach /var/log/tiger zu wechseln .

Hinweis: Linux lässt keine Benutzer ohne Rootberechtigung in /var/log zu. Sie müssen su verwenden .

su -

oder

sudo -s

Greifen Sie dann auf den Protokollordner zu mit:

cd /var/log/tiger

Führen Sie im Tiger-Protokollverzeichnis den Befehl ls aus . Mit diesem Befehl werden alle Dateien im Verzeichnis ausgedruckt.

ls

Nehmen Sie Ihre Maus und markieren Sie die Sicherheitsberichtsdatei, die im Terminal angezeigt wird . Zeigen Sie es dann mit dem Befehl cat an .

Katzensicherheitsbericht.xxx.xxx-xx:xx

Sehen Sie sich den Bericht an und stellen Sie fest, ob Tiger ein Rootkit auf Ihrem System entdeckt hat.

Rootkits unter Linux entfernen

Rootkits von Linux-Systemen zu entfernen – selbst mit den besten Tools ist schwer und nicht zu 100 % erfolgreich. Es stimmt zwar, dass es Programme gibt, die helfen können, diese Art von Problemen loszuwerden; sie funktionieren nicht immer.

Ob es Ihnen gefällt oder nicht, wenn Tiger einen gefährlichen Wurm auf Ihrem Linux-PC festgestellt hat, ist es am besten, Ihre kritischen Dateien zu sichern, einen neuen Live-USB zu erstellen und das Betriebssystem komplett neu zu installieren.