Bagaimana untuk menyemak rootkit pada Linux dengan Tiger

Bimbang anda mungkin mempunyai rootkit pada pelayan Linux anda, desktop atau komputer riba? Jika anda ingin menyemak sama ada rootkit terdapat pada sistem anda atau tidak, dan menyingkirkannya, anda perlu mengimbas sistem anda terlebih dahulu. Salah satu alat terbaik untuk mengimbas rootkit di Linux ialah Tiger. Apabila dijalankan, ia membuat laporan keselamatan lengkap sistem Linux anda yang menggariskan di mana masalahnya (termasuk rootkit).

Dalam panduan ini, kami akan membincangkan cara memasang alat keselamatan Tiger dan mengimbas untuk Rootkit berbahaya.

Pasang Harimau

Tiger tidak datang dengan sebarang pengedaran Linux di luar kotak, jadi sebelum membincangkan cara menggunakan alat keselamatan Tiger di Linux, kita perlu menyemak cara memasangnya. Anda memerlukan Ubuntu, Debian atau Arch Linux untuk memasang Tiger tanpa menyusun kod sumber.

Ubuntu

Tiger telah lama berada dalam sumber perisian Ubuntu. Untuk memasangnya, buka tetingkap terminal dan jalankan arahan apt berikut .

sudo apt install tiger

Debian

Debian mempunyai Tiger, dan ia boleh dipasang dengan arahan pemasangan Apt-get .

sudo apt-get install tiger

Arch Linux

Perisian keselamatan Tiger berada di Arch Linux melalui AUR. Ikuti langkah di bawah untuk memasang perisian pada sistem anda.

Langkah 1: Pasang pakej yang diperlukan untuk memasang pakej AUR dengan tangan. Pakej ini ialah Git dan Base-devel.

sudo pacman -S git base-devel

Langkah 2: Klon petikan AUR Harimau ke PC Arch anda menggunakan arahan klon git .

git klon https://aur.archlinux.org/tiger.git

Langkah 3: Alihkan sesi terminal daripada direktori lalainya (rumah) ke folder harimau baharu yang menyimpan fail pkgbuild.

cd harimau

Langkah 4: Hasilkan pemasang Arch untuk Tiger. Membina pakej dilakukan dengan arahan makepkg , tetapi berhati-hati: kadangkala penjanaan pakej tidak berfungsi kerana masalah pergantungan. Jika ini berlaku kepada anda, semak halaman rasmi Tiger AUR untuk kebergantungan. Pastikan juga anda membaca ulasan, kerana pengguna lain mungkin mempunyai cerapan.

makepkg -sri

Fedora dan OpenSUSE

Malangnya, kedua-dua Fedora, OpenSUSE dan pengedaran Linux berasaskan RPM/RedHat yang lain tidak mempunyai pakej binari yang mudah dipasang untuk memasang Tiger. Untuk menggunakannya, pertimbangkan untuk menukar pakej DEB dengan alien . Atau ikut arahan kod sumber di bawah.

Linux generik

Untuk membina apl Tiger daripada sumber, anda perlu mengklonkan kod tersebut. Buka terminal dan lakukan perkara berikut:

git klon https://git.savannah.nongnu.org/git/tiger.git

Pasang program dengan menjalankan skrip shell yang disertakan.

sudo ./install.sh

Sebagai alternatif, jika anda ingin menjalankannya (bukan memasangnya) lakukan perkara berikut:

sudo ./tiger

Semak rootkit pada Linux

Tiger adalah aplikasi automatik. Ia tidak mempunyai sebarang pilihan atau suis unik yang boleh digunakan pengguna dalam baris arahan. Pengguna tidak boleh hanya "menjalankan rootkit" pilihan untuk menyemak satu. Sebaliknya, pengguna mesti menggunakan Tiger dan menjalankan imbasan penuh.

Setiap kali program dijalankan, ia melakukan imbasan pelbagai jenis ancaman keselamatan pada sistem. Anda akan dapat melihat semua yang diimbas. Beberapa perkara yang diimbas oleh Harimau ialah:

• Fail kata laluan Linux.
• fail .rhost.
• fail .netrc.
• ttytab, securetty dan fail konfigurasi log masuk.
• Kumpulan fail.
• Tetapan laluan Bash.
• Pemeriksaan rootkit.
• Entri permulaan Cron.
• Pengesanan "pecah masuk".
• Fail konfigurasi SSH.
• Proses mendengar.
• Fail konfigurasi FTP.

Untuk menjalankan imbasan keselamatan Tiger pada Linux, dapatkan cangkerang akar menggunakan perintah su atau sudo -s .

su -

atau

sudo -s

Menggunakan keistimewaan root, laksanakan arahan harimau untuk memulakan audit keselamatan.

harimau

Biarkan perintah harimau berjalan dan melalui proses audit. Ia akan mencetak perkara yang diimbas dan cara ia berinteraksi dengan sistem Linux anda. Biarkan proses audit Harimau berjalan lancar; ia akan mencetak lokasi laporan keselamatan dalam terminal.

Lihat Balak Harimau

Untuk menentukan sama ada anda mempunyai rootkit pada sistem Linux anda, anda mesti melihat laporan keselamatan.

Untuk melihat mana-mana laporan keselamatan Tiger, buka terminal dan gunakan arahan CD untuk beralih ke /var/log/tiger .

Nota: Linux tidak akan membenarkan pengguna bukan root masuk /var/log. Anda mesti menggunakan su .

su -

atau

sudo -s

Kemudian, akses folder log dengan:

cd /var/log/tiger

Dalam direktori log Harimau, jalankan arahan ls . Menggunakan arahan ini mencetak semua fail dalam direktori.

ls

Ambil tetikus anda dan serlahkan fail laporan keselamatan yang ls dedahkan dalam terminal. Kemudian, lihat dengan arahan kucing .

keselamatan kucing.report.xxx.xxx-xx:xx

Semak laporan dan tentukan sama ada Tiger telah mengesan rootkit pada sistem anda.

Mengalih keluar rootkit pada Linux

Mengalih keluar Rootkit daripada sistem Linux — walaupun dengan alatan terbaik, adalah sukar dan tidak berjaya 100% pada setiap masa. Walaupun benar terdapat program di luar sana yang boleh membantu menghilangkan isu-isu seperti ini; mereka tidak selalu bekerja.

Suka atau tidak, jika Tiger telah menentukan cecacing berbahaya pada PC Linux anda, sebaiknya buat sandaran fail kritikal anda, buat USB langsung baharu dan pasang semula sistem pengendalian itu sama sekali.