Hoe te controleren op rootkits op Linux met Tiger

Bezorgd dat je een rootkit op je Linux-server, desktop of laptop hebt? Als u wilt controleren of er rootkits op uw systeem aanwezig zijn en deze wilt verwijderen, moet u eerst uw systeem scannen. Een van de beste tools om te scannen op rootkits op Linux is Tiger. Wanneer het wordt uitgevoerd, maakt het een compleet beveiligingsrapport van uw Linux-systeem dat schetst waar de problemen zijn (inclusief rootkits).

In deze handleiding bespreken we hoe u de Tiger-beveiligingstool installeert en scant op gevaarlijke rootkits.

Tijger installeren

Tiger wordt standaard niet geleverd met Linux-distributies, dus voordat we het hebben over het gebruik van de Tiger-beveiligingstool op Linux, moeten we eerst bespreken hoe we het moeten installeren. U hebt Ubuntu, Debian of Arch Linux nodig om Tiger te installeren zonder de broncode te compileren.

Ubuntu

Tiger zit al lang in de Ubuntu-softwarebronnen. Om het te installeren, opent u een terminalvenster en voert u de volgende apt- opdracht uit.

sudo apt install tiger

Debian

Debian heeft Tiger en het kan worden geïnstalleerd met de opdracht Apt-get install.

sudo apt-get install tiger

Arch Linux

De Tiger-beveiligingssoftware staat op Arch Linux via de AUR. Volg de onderstaande stappen om de software op uw systeem te installeren.

Stap 1: Installeer de pakketten die nodig zijn om AUR-pakketten met de hand te installeren. Deze pakketten zijn Git en Base-devel.

sudo pacman -S git base-devel

Stap 2: Kloon de Tiger AUR-snapshot naar uw Arch-pc met behulp van het git clone- commando.

git kloon https://aur.archlinux.org/tiger.git

Stap 3: Verplaats de terminal sessie uit de standaard directory (thuis) naar de nieuwe tijger map die het PKGBUILD bestand bevat.

cd tijger

Stap 4: Genereer een Arch-installatieprogramma voor Tiger. Het bouwen van een pakket doe je met het makepkg- commando, maar let op: soms werkt het genereren van pakketten niet vanwege afhankelijkheidsproblemen. Als dit je overkomt, kijk dan op de officiële Tiger AUR-pagina voor de afhankelijkheden. Zorg ervoor dat u ook de opmerkingen leest, omdat andere gebruikers mogelijk inzichten hebben.

makepkg -sri

Fedora en OpenSUSE

Helaas hebben zowel Fedora, OpenSUSE als andere op RPM/RedHat gebaseerde Linux-distributies geen eenvoudig te installeren binair pakket om Tiger mee te installeren. Om het te gebruiken, overwegen het omzetten van de DEB-pakket met alien . Of volg de onderstaande broncode-instructies.

Generieke Linux

Om de Tiger-app vanaf de bron te bouwen, moet je de code klonen. Open een terminal en doe het volgende:

git kloon https://git.savannah.nongnu.org/git/tiger.git

Installeer het programma door het meegeleverde shellscript uit te voeren.

sudo ./install.sh

Als alternatief, als u het wilt uitvoeren (in plaats van het te installeren), doet u het volgende:

sudo ./tijger

Controleren op rootkits op Linux

Tiger is een automatische applicatie. Het heeft geen unieke opties of schakelaars die gebruikers in de opdrachtregel kunnen gebruiken. De gebruiker kan niet zomaar "de rootkit uitvoeren" om er een te controleren. In plaats daarvan moet de gebruiker Tiger gebruiken en een volledige scan uitvoeren.

Elke keer dat het programma wordt uitgevoerd, scant het veel verschillende soorten beveiligingsbedreigingen op het systeem. U kunt alles zien wat het scant. Enkele dingen die Tiger scant zijn:

• Linux wachtwoord bestanden.
• .rhost-bestanden.
• .netrc-bestanden.
• ttytab, securetty en login configuratiebestanden.
• Groepsbestanden.
• Instellingen voor bash-pad.
• Rootkit-controles.
• Cron-opstartvermeldingen.
• Inbraakdetectie.
• SSH-configuratiebestanden.
• Luisterprocessen.
• FTP-configuratiebestanden.

Om een ​​Tiger-beveiligingsscan op Linux uit te voeren, moet u een rootshell verkrijgen met de opdracht su of sudo -s .

zo -

of

sudo -s

Gebruik root-privileges en voer het tiger- commando uit om de beveiligingsaudit te starten.

tijger

Laat het tijgercommando lopen en doorloop het auditproces. Het drukt uit wat het scant en hoe het communiceert met je Linux-systeem. Laat het Tiger-auditproces zijn gang gaan; het zal de locatie van het beveiligingsrapport in de terminal afdrukken.

Tijgerlogboeken bekijken

Om te bepalen of je een rootkit op je Linux-systeem hebt, moet je het beveiligingsrapport bekijken.

Om een ​​Tiger-beveiligingsrapport te bekijken, opent u een terminal en gebruikt u het CD- commando om naar /var/log/tiger te gaan .

Opmerking: Linux laat geen niet-rootgebruikers toe in /var/log. U moet su gebruiken .

zo -

of

sudo -s

Open vervolgens de logmap met:

cd /var/log/tijger

Voer in de Tiger log-directory de opdracht ls uit. Met deze opdracht worden alle bestanden in de map afgedrukt.

ls

Neem je muis en markeer de beveiliging rapport bestand dat ls onthult in de terminal. Bekijk het dan met het kat- commando.

cat security.report.xxx.xxx-xx:xx

Bekijk het rapport en bepaal of Tiger een rootkit op uw systeem heeft gedetecteerd.

Rootkits verwijderen op Linux

Het verwijderen van rootkits van Linux-systemen, zelfs met de beste tools, is moeilijk en niet 100% van de tijd succesvol. Hoewel het waar is, zijn er programma's die kunnen helpen om van dit soort problemen af ​​te komen; ze werken niet altijd.

Of je het nu leuk vindt of niet, als Tiger een gevaarlijke worm op je Linux-pc heeft ontdekt, kun je het beste een back-up maken van je kritieke bestanden, een nieuwe live-USB maken en het besturingssysteem helemaal opnieuw installeren.