Cara memeriksa rootkit di Linux dengan Tiger

Khawatir bahwa Anda mungkin memiliki rootkit di server, desktop, atau laptop Linux Anda? Jika Anda ingin memeriksa apakah rootkit ada di sistem Anda atau tidak, dan menghapusnya, Anda harus memindai sistem Anda terlebih dahulu. Salah satu alat terbaik untuk memindai rootkit di Linux adalah Tiger. Saat dijalankan, ia melakukan laporan keamanan lengkap dari sistem Linux Anda yang menguraikan di mana masalahnya (termasuk rootkit).

Dalam panduan ini, kita akan membahas cara menginstal alat keamanan Tiger dan memindai Rootkit berbahaya.

Instal Harimau

Tiger tidak datang dengan distribusi Linux di luar kotak, jadi sebelum membahas cara menggunakan alat keamanan Tiger di Linux, kita perlu membahas cara menginstalnya. Anda memerlukan Ubuntu, Debian, atau Arch Linux untuk menginstal Tiger tanpa mengkompilasi kode sumber.

Ubuntu

Tiger telah lama berada di sumber perangkat lunak Ubuntu. Untuk menginstalnya, buka jendela terminal dan jalankan perintah apt berikut .

sudo apt install tiger

Debian

Debian memiliki Tiger, dan dapat diinstal dengan perintah Apt-get install.

sudo apt-get install tiger

Arch Linux

Perangkat lunak keamanan Tiger ada di Arch Linux melalui AUR. Ikuti langkah-langkah di bawah ini untuk menginstal perangkat lunak pada sistem Anda.

Langkah 1: Instal paket yang diperlukan untuk menginstal paket AUR secara manual. Paket-paket ini adalah Git dan Base-devel.

sudo pacman -S git base-devel

Langkah 2: Kloning snapshot Tiger AUR ke Arch PC Anda menggunakan perintah git clone .

git clone https://aur.archlinux.org/tiger.git

Langkah 3: Pindahkan sesi terminal dari direktori default (home) ke folder tiger baru yang menyimpan file pkgbuild.

cd harimau

Langkah 4: Buat penginstal Arch untuk Tiger. Membangun sebuah paket dilakukan dengan perintah makepkg , tetapi berhati-hatilah: terkadang pembuatan paket tidak bekerja karena masalah ketergantungan. Jika ini terjadi pada Anda, periksa halaman resmi Tiger AUR untuk dependensi. Pastikan juga untuk membaca komentar, karena pengguna lain mungkin memiliki wawasan.

makepkg -sri

Fedora dan OpenSUSE

Sayangnya, baik Fedora, OpenSUSE dan distribusi Linux berbasis RPM/RedHat lainnya tidak memiliki paket biner yang mudah untuk menginstal Tiger. Untuk menggunakannya, pertimbangkan untuk mengonversi paket DEB dengan alien . Atau ikuti petunjuk kode sumber di bawah ini.

Linux Umum

Untuk membuat aplikasi Tiger dari sumber, Anda harus mengkloning kodenya. Buka terminal dan lakukan hal berikut:

git clone https://git.savannah.nongnu.org/git/tiger.git

Instal program dengan menjalankan skrip shell yang disertakan.

sudo ./install.sh

Atau, jika Anda ingin menjalankannya (daripada menginstalnya) lakukan hal berikut:

sudo ./harimau

Periksa rootkit di Linux

Tiger adalah aplikasi otomatis. Itu tidak memiliki opsi atau sakelar unik yang dapat digunakan pengguna di baris perintah. Pengguna tidak bisa hanya "menjalankan rootkit" opsi untuk memeriksanya. Sebagai gantinya, pengguna harus menggunakan Tiger dan menjalankan pemindaian penuh.

Setiap kali program berjalan, program akan memindai berbagai jenis ancaman keamanan pada sistem. Anda akan dapat melihat semua yang dipindainya. Beberapa hal yang dipindai oleh Tiger adalah:

• File kata sandi Linux.
• .rhost file.
• file .netrc.
• ttytab, securetty, dan file konfigurasi login.
• File grup.
• Pengaturan jalur bash.
• Pemeriksaan rootkit.
• Entri startup Cron.
• Deteksi "penjebolan".
• File konfigurasi SSH.
• Proses mendengarkan.
• File konfigurasi FTP.

Untuk menjalankan pemindaian keamanan Tiger di Linux, dapatkan shell root menggunakan perintah su atau sudo -s .

su -

atau

sudo -s

Menggunakan hak akses root, jalankan perintah harimau untuk memulai audit keamanan.

harimau

Biarkan perintah harimau berjalan dan melalui proses audit. Ini akan mencetak apa yang dipindai, dan bagaimana interaksinya dengan sistem Linux Anda. Biarkan proses audit Tiger berjalan dengan sendirinya; itu akan mencetak lokasi laporan keamanan di terminal.

Lihat Log Harimau

Untuk menentukan apakah Anda memiliki rootkit di sistem Linux Anda, Anda harus melihat laporan keamanan.

Untuk melihat laporan keamanan Tiger, buka terminal dan gunakan perintah CD untuk pindah ke /var/log/tiger .

Catatan: Linux tidak akan mengizinkan pengguna non-root di /var/log. Anda harus menggunakan su .

su -

atau

sudo -s

Kemudian, akses folder log dengan:

cd /var/log/harimau

Di direktori log Tiger, jalankan perintah ls . Menggunakan perintah ini mencetak semua file dalam direktori.

ls

Ambil mouse dan sorot file laporan keamanan yang ls mengungkapkan di terminal. Kemudian, lihat dengan perintah cat .

cat security.report.xxx.xxx-xx:xx

Lihat laporan dan tentukan apakah Tiger telah mendeteksi rootkit di sistem Anda.

Menghapus rootkit di Linux

Menghapus Rootkit dari sistem Linux — bahkan dengan alat terbaik, sulit dan tidak berhasil 100% setiap saat. Meskipun benar ada program di luar sana yang dapat membantu menyingkirkan masalah semacam ini; mereka tidak selalu bekerja.

Suka atau tidak, jika Tiger telah menemukan worm berbahaya di PC Linux Anda, yang terbaik adalah mencadangkan file penting Anda, membuat live USB baru, dan menginstal ulang sistem operasi secara bersamaan.