Cómo buscar rootkits en Linux con Tiger

¿Le preocupa que pueda tener un rootkit en su servidor Linux, computadora de escritorio o computadora portátil? Si desea verificar si hay rootkits presentes en su sistema y deshacerse de ellos, primero deberá escanear su sistema. Una de las mejores herramientas para buscar rootkits en Linux es Tiger. Cuando se ejecuta, realiza un informe de seguridad completo de su sistema Linux que describe dónde están los problemas (incluidos los rootkits).

En esta guía, repasaremos cómo instalar la herramienta de seguridad Tiger y buscar rootkits peligrosos.

Instalar Tiger

Tiger no viene con ninguna distribución de Linux lista para usar, por lo que antes de repasar cómo usar la herramienta de seguridad Tiger en Linux, tendremos que repasar cómo instalarla. Necesitará Ubuntu, Debian o Arch Linux para instalar Tiger sin compilar el código fuente.

Ubuntu

Tiger ha estado durante mucho tiempo en las fuentes de software de Ubuntu. Para instalarlo, abra una ventana de terminal y ejecute el siguiente comando apt .

sudo apt instalar tigre

Debian

Debian tiene Tiger y se puede instalar con el comando Apt-get install.

sudo apt-get install tiger

Arch Linux

El software de seguridad Tiger está en Arch Linux a través de AUR. Siga los pasos a continuación para instalar el software en su sistema.

Paso 1: Instale los paquetes necesarios para instalar los paquetes AUR a mano. Estos paquetes son Git y Base-devel.

sudo pacman -S git base-devel

Paso 2: Clone la instantánea Tiger AUR en su Arch PC usando el comando git clone .

clon de git https://aur.archlinux.org/tiger.git

Paso 3: Mueva la sesión de terminal de su directorio predeterminado (inicio) a la nueva carpeta Tiger que contiene el archivo pkgbuild.

cd tigre

Paso 4: Genere un instalador de Arch para Tiger. La construcción de un paquete se realiza con el comando makepkg , pero tenga cuidado: a veces la generación de paquetes no funciona debido a problemas de dependencia. Si esto le sucede, consulte la página oficial de Tiger AUR para conocer las dependencias. Asegúrese también de leer los comentarios, ya que otros usuarios pueden tener ideas.

makepkg -sri

Fedora y OpenSUSE

Lamentablemente, Fedora, OpenSUSE y otras distribuciones de Linux basadas en RPM / RedHat no tienen un paquete binario fácil de instalar para instalar Tiger. Para usarlo, considere convertir el paquete DEB con alien . O siga las instrucciones del código fuente a continuación.

Linux genérico

Para crear la aplicación Tiger desde la fuente, deberá clonar el código. Abra una terminal y haga lo siguiente:

clon de git https://git.savannah.nongnu.org/git/tiger.git

Instale el programa ejecutando el script de shell incluido.

sudo ./install.sh

Alternativamente, si desea ejecutarlo (en lugar de instalarlo), haga lo siguiente:

sudo ./tiger

Compruebe si hay rootkits en Linux

Tiger es una aplicación automática. No tiene opciones o interruptores únicos que los usuarios puedan usar en la línea de comandos. El usuario no puede simplemente "ejecutar el rootkit" para buscar uno. En su lugar, el usuario debe utilizar Tiger y ejecutar un análisis completo.

Cada vez que se ejecuta el programa, realiza un análisis de diferentes tipos de amenazas de seguridad en el sistema. Podrás ver todo lo que está escaneando. Algunas de las cosas que escanea Tiger son:

• Archivos de contraseña de Linux.
• Archivos .rhost.
• Archivos .netrc.
• ttytab, securetty y archivos de configuración de inicio de sesión.
• Archivos de grupo.
• Configuración de ruta de bash.
• Comprobaciones de rootkit.
• Entradas de inicio cron.
• Detección de "robo".
• Archivos de configuración SSH.
• Procesos de escucha.
• Archivos de configuración de FTP.

Para ejecutar un escaneo de seguridad de Tiger en Linux, obtenga un shell de root usando el comando su o sudo -s .

su -

o

sudo -s

Usando privilegios de root, ejecute el comando tiger para iniciar la auditoría de seguridad.

Tigre

Deje que el comando tiger se ejecute y siga el proceso de auditoría. Imprimirá lo que está escaneando y cómo está interactuando con su sistema Linux. Deje que el proceso de auditoría de Tiger siga su curso; imprimirá la ubicación del informe de seguridad en la terminal.

Ver registros de tigre

Para determinar si tiene un rootkit en su sistema Linux, debe ver el informe de seguridad.

Para ver cualquier informe de seguridad de Tiger, abra una terminal y use el comando CD para moverse a / var / log / tiger .

Nota: Linux no permitirá que los usuarios no root accedan a / var / log. Debes usar su .

su -

o

sudo -s

Luego, acceda a la carpeta de registro con:

cd / var / log / tiger

En el directorio de registros de Tiger, ejecute el comando ls . El uso de este comando imprime todos los archivos del directorio.

ls

Tome su mouse y resalte el archivo del informe de seguridad que ls revela en la terminal. Luego, véalo con el comando cat .

cat security.report.xxx.xxx-xx: xx

Revise el informe y determine si Tiger ha detectado un rootkit en su sistema.

Eliminando rootkits en Linux

Eliminar Rootkits de los sistemas Linux, incluso con las mejores herramientas, es difícil y no tiene éxito el 100% del tiempo. Si bien es cierto que existen programas que pueden ayudar a eliminar este tipo de problemas; no siempre funcionan.

Le guste o no, si Tiger ha determinado un gusano peligroso en su PC con Linux, es mejor hacer una copia de seguridad de sus archivos críticos, crear un nuevo USB en vivo y reinstalar el sistema operativo por completo.