Как проверить наличие руткитов в Linux с помощью Tiger

Обеспокоены тем, что на вашем сервере Linux, настольном компьютере или ноутбуке может быть руткит? Если вы хотите проверить, присутствуют ли руткиты в вашей системе, и избавиться от них, вам нужно сначала просканировать вашу систему. Tiger - один из лучших инструментов для поиска руткитов в Linux. При запуске он составляет полный отчет о безопасности вашей системы Linux , в котором указаны проблемы (включая руткиты).

В этом руководстве мы рассмотрим, как установить инструмент безопасности Tiger и выполнить сканирование на наличие опасных руткитов.

Установить Тигр

Tiger не поставляется с какими-либо дистрибутивами Linux из коробки, поэтому, прежде чем переходить к тому, как использовать инструмент безопасности Tiger в Linux, нам нужно будет узнать, как его установить. Вам понадобится Ubuntu, Debian или Arch Linux для установки Tiger без компиляции исходного кода.

Ubuntu

Tiger уже давно присутствует в источниках программного обеспечения Ubuntu. Чтобы установить его, откройте окно терминала и выполните следующую команду apt .

sudo apt install tiger

Debian

В Debian есть Tiger, и его можно установить с помощью команды Apt-get install.

sudo apt-get install tiger

Arch Linux

Программное обеспечение безопасности Tiger находится в Arch Linux через AUR. Следуйте инструкциям ниже, чтобы установить программное обеспечение в вашей системе.

Шаг 1. Установите пакеты, необходимые для установки пакетов AUR вручную. Это пакеты Git и Base-devel.

sudo pacman -S git base-devel

Шаг 2: Клонируйте снимок Tiger AUR на свой компьютер Arch с помощью команды git clone .

git clone https://aur.archlinux.org/tiger.git

Шаг 3: Переместите сеанс терминала из каталога по умолчанию (домашний) в новую папку tiger , в которой находится файл pkgbuild.

cd тигр

Шаг 4: Создайте установщик Arch для Tiger. Сборка пакета выполняется с помощью команды makepkg , но будьте осторожны: иногда создание пакета не работает из-за проблем с зависимостями. Если это произойдет с вами, проверьте официальную страницу Tiger AUR на наличие зависимостей. Не забудьте также прочитать комментарии, так как у других пользователей может быть понимание.

makepkg -sri

Fedora и OpenSUSE

К сожалению, и Fedora, и OpenSUSE, и другие дистрибутивы Linux на основе RPM / RedHat не имеют простого в установке двоичного пакета для установки Tiger. Чтобы использовать его, подумайте о преобразовании пакета DEB с помощью alien . Или следуйте приведенным ниже инструкциям по исходному коду.

Общий Linux

Чтобы собрать приложение Tiger из исходного кода, вам необходимо клонировать код. Откройте терминал и сделайте следующее:

git clone https://git.savannah.nongnu.org/git/tiger.git

Установите программу, запустив прилагаемый сценарий оболочки.

sudo ./install.sh

В качестве альтернативы, если вы хотите запустить его (а не устанавливать), сделайте следующее:

sudo ./tiger

Проверьте наличие руткитов в Linux

Тигр - это автоматическое приложение. У него нет каких-либо уникальных параметров или переключателей, которые пользователи могут использовать в командной строке. Пользователь не может просто «запустить руткит», чтобы проверить его. Вместо этого пользователь должен использовать Tiger и запустить полное сканирование.

Каждый раз, когда программа запускается, она проверяет систему на наличие множества различных типов угроз безопасности. Вы сможете увидеть все, что он сканирует. Вот некоторые из вещей, которые сканирует Tiger:

• Файлы паролей Linux.
• .rhost файлы.
• .netrc файлы.
• ttytab, securetty и файлы конфигурации входа в систему.
• Группировать файлы.
• Настройки пути в Bash.
• Проверяет руткит.
• Записи запуска Cron.
• Обнаружение «взлома».
• Файлы конфигурации SSH.
• Прослушивание процессов.
• Файлы конфигурации FTP.

Чтобы запустить сканирование безопасности Tiger в Linux, получите оболочку root с помощью команды su или sudo -s .

вс -

или

sudo -s

Используя привилегии root, выполните команду tiger, чтобы запустить аудит безопасности.

тигр

Запустите команду tiger и выполните процесс аудита. Он распечатает то, что сканирует, и как он взаимодействует с вашей системой Linux. Позвольте процессу аудита Tiger идти своим чередом; он распечатает местоположение отчета о безопасности в терминале.

Просмотр журналов тигра

Чтобы определить, есть ли у вас руткит в вашей системе Linux, вы должны просмотреть отчет о безопасности.

Чтобы просмотреть любой отчет о безопасности Tiger, откройте терминал и используйте команду CD для перехода в / var / log / tiger .

Примечание: Linux не позволяет пользователям без полномочий root заходить в / var / log. Вы должны использовать su .

вс -

или

sudo -s

Затем войдите в папку журнала с помощью:

cd / var / log / тигр

В каталоге журнала Tiger выполните команду ls . Использование этой команды распечатывает все файлы в каталоге.

ls

Возьмите указатель мыши и выделите файл отчета о безопасности, который ls показывает в терминале. Затем просмотрите его с помощью команды cat .

кошка security.report.xxx.xxx-xx: xx

Просмотрите отчет и определите, обнаружил ли Tiger руткит в вашей системе.

Удаление руткитов в Linux

Удаление руткитов из систем Linux - даже с использованием лучших инструментов - сложно и безуспешно в 100% случаев. Хотя это правда, существуют программы, которые могут помочь избавиться от подобных проблем; они не всегда работают.

Нравится вам это или нет, но если Tiger обнаружил опасного червя на вашем ПК с Linux, лучше всего сделать резервную копию ваших важных файлов, создать новый действующий USB-накопитель и полностью переустановить операционную систему.