Comment rechercher les rootkits sur Linux avec Tiger

Vous craignez d'avoir un rootkit sur votre serveur Linux, votre ordinateur de bureau ou votre ordinateur portable ? Si vous souhaitez vérifier si des rootkits sont présents ou non sur votre système et vous en débarrasser, vous devez d'abord analyser votre système. L'un des meilleurs outils pour rechercher des rootkits sur Linux est Tiger. Lorsqu'il est exécuté, il crée un rapport de sécurité complet de votre système Linux qui indique où se trouvent les problèmes (y compris les rootkits).

Dans ce guide, nous verrons comment installer l'outil de sécurité Tiger et rechercher les rootkits dangereux.

Installer Tiger

Tiger n'est fourni avec aucune distribution Linux prête à l'emploi, donc avant d'expliquer comment utiliser l'outil de sécurité Tiger sur Linux, nous devrons voir comment l'installer. Vous aurez besoin d'Ubuntu, Debian ou Arch Linux pour installer Tiger sans compiler le code source.

Ubuntu

Tiger est depuis longtemps dans les sources logicielles d'Ubuntu. Pour l'installer, ouvrez une fenêtre de terminal et exécutez la commande apt suivante .

sudo apt installer tigre

Debian

Debian a Tiger, et il est installable avec la commande d'installation Apt-get .

sudo apt-get install tiger

Arch Linux

Le logiciel de sécurité Tiger est sur Arch Linux via l'AUR. Suivez les étapes ci-dessous pour installer le logiciel sur votre système.

Étape 1 : Installez les packages requis pour installer les packages AUR à la main. Ces packages sont Git et Base-devel.

sudo pacman -S git base-devel

Étape 2 : Clonez l'instantané Tiger AUR sur votre Arch PC à l'aide de la commande git clone .

git clone https://aur.archlinux.org/tiger.git

Étape 3 : déplacez la session de terminal de son répertoire par défaut (home) vers le nouveau dossier tiger qui contient le fichier pkgbuild.

tigre de CD

Étape 4 : Générez un programme d'installation Arch pour Tiger. La construction d'un paquet se fait avec la commande makepkg , mais attention : parfois la génération de paquet ne fonctionne pas à cause de problèmes de dépendances. Si cela vous arrive, consultez la page officielle Tiger AUR pour les dépendances. Assurez-vous également de lire les commentaires, car d'autres utilisateurs peuvent avoir des idées.

makepkg -sri

Fedora et OpenSUSE

Malheureusement, Fedora, OpenSUSE et d'autres distributions Linux basées sur RPM/RedHat n'ont pas de paquet binaire facile à installer avec lequel installer Tiger. Pour l'utiliser, envisagez de convertir le package DEB avec alien . Ou suivez les instructions du code source ci-dessous.

Linux générique

Pour créer l'application Tiger à partir des sources, vous devrez cloner le code. Ouvrez un terminal et procédez comme suit :

git clone https://git.savannah.nongnu.org/git/tiger.git

Installez le programme en exécutant le script shell inclus.

sudo ./install.sh

Sinon, si vous souhaitez l'exécuter (plutôt que l'installer), procédez comme suit :

sudo ./tigre

Rechercher les rootkits sur Linux

Tiger est une application automatique. Il n'a pas d'options ou de commutateurs uniques que les utilisateurs peuvent utiliser dans la ligne de commande. L'utilisateur ne peut pas simplement "exécuter le rootkit" pour en vérifier un. Au lieu de cela, l'utilisateur doit utiliser Tiger et exécuter une analyse complète.

Chaque fois que le programme s'exécute, il analyse de nombreux types de menaces de sécurité sur le système. Vous pourrez voir tout ce qu'il numérise. Certaines des choses que Tiger scanne sont :

• Fichiers de mots de passe Linux.
• fichiers .rhost.
• fichiers .netrc.
• ttytab, securetty et fichiers de configuration de connexion.
• Fichiers de groupe.
• Paramètres de chemin Bash.
• Vérifications des rootkits.
• Entrées de démarrage de Cron.
• Détection « effraction ».
• Fichiers de configuration SSH.
• Processus d'écoute.
• Fichiers de configuration FTP.

Pour exécuter une analyse de sécurité Tiger sur Linux, obtenez un shell root à l'aide de la commande su ou sudo -s .

su -

ou

sudo -s

À l'aide des privilèges root, exécutez la commande tiger pour démarrer l'audit de sécurité.

tigre

Laissez la commande tiger s'exécuter et suivez le processus d'audit. Il imprimera ce qu'il numérise et comment il interagit avec votre système Linux. Laissez le processus d'audit Tiger suivre son cours ; il imprimera l'emplacement du rapport de sécurité dans le terminal.

Voir les journaux du tigre

Pour déterminer si vous avez un rootkit sur votre système Linux, vous devez consulter le rapport de sécurité.

To look at any Tiger security report, open up a terminal and use the CD command to move into /var/log/tiger.

Note: Linux will not let non-root users in /var/log. You must use su.

su -

or

sudo -s

Then, access the log folder with:

cd /var/log/tiger

In the Tiger log directory, run the ls command. Using this command prints out all the files in the directory.

ls

Take your mouse and highlight the security report file that ls reveals in the terminal. Then, view it with the cat command.

cat security.report.xxx.xxx-xx:xx

Look over the report and determine if Tiger has detected a rootkit on your system.

Removing rootkits on Linux

Supprimer les rootkits des systèmes Linux - même avec les meilleurs outils, est difficile et ne réussit pas 100% du temps. S'il est vrai qu'il existe des programmes qui peuvent aider à se débarrasser de ce genre de problèmes ; ils ne fonctionnent pas toujours.

Qu'on le veuille ou non, si Tiger a détecté un ver dangereux sur votre PC Linux, il est préférable de sauvegarder vos fichiers critiques, de créer une nouvelle clé USB et de réinstaller complètement le système d'exploitation.