วิธีตรวจสอบรูทคิทบน Linux ด้วย Tiger

กังวลว่าคุณอาจมีรูทคิทบนเซิร์ฟเวอร์ Linux เดสก์ท็อปหรือแล็ปท็อปหรือไม่ หากคุณต้องการตรวจสอบว่ามีรูทคิตอยู่ในระบบของคุณหรือไม่ และกำจัดมันออกไป คุณจะต้องสแกนระบบของคุณก่อน หนึ่งในเครื่องมือที่ดีที่สุดในการสแกนหารูทคิทบน Linux คือ Tiger เมื่อเรียกใช้ จะมีรายงานความปลอดภัยฉบับสมบูรณ์ของระบบ Linux ของคุณที่ระบุว่าปัญหาอยู่ที่ใด (รวมถึงรูทคิท)

ในคู่มือนี้ เราจะพูดถึงวิธีการติดตั้งเครื่องมือรักษาความปลอดภัย Tiger และสแกนหารูทคิทที่เป็นอันตราย

ติดตั้ง Tiger

Tiger ไม่ได้มาพร้อมกับลีนุกซ์รุ่นใด ๆ เลย ดังนั้นก่อนจะพูดถึงวิธีใช้เครื่องมือความปลอดภัยของ Tiger บน Linux เราจะต้องศึกษาวิธีการติดตั้งก่อน คุณจะต้องใช้ Ubuntu, Debian หรือArch Linuxเพื่อติดตั้ง Tiger โดยไม่ต้องคอมไพล์ซอร์สโค้ด

อูบุนตู

Tiger อยู่ในแหล่งซอฟต์แวร์ Ubuntu มานานแล้ว ในการติดตั้ง ให้เปิดหน้าต่างเทอร์มินัลแล้วเรียกใช้คำสั่งaptต่อไปนี้

sudo apt ติดตั้งเสือ

เดเบียน

Debian มี Tiger และสามารถติดตั้งได้ด้วยคำสั่งApt-get install

sudo apt-get ติดตั้งเสือ

Arch Linux

ซอฟต์แวร์ความปลอดภัยของ Tiger อยู่บน Arch Linux ผ่าน AUR ทำตามขั้นตอนด้านล่างเพื่อติดตั้งซอฟต์แวร์ในระบบของคุณ

ขั้นตอนที่ 1:ติดตั้งแพ็คเกจที่จำเป็นในการติดตั้งแพ็คเกจ AUR ด้วยมือ แพ็คเกจเหล่านี้คือ Git และ Base-devel

sudo pacman -S git base-devel

ขั้นตอนที่ 2:โคลนสแน็ปช็อต Tiger AUR ไปยัง Arch PC ของคุณโดยใช้คำสั่งgit clone

โคลน git https://aur.archlinux.org/tiger.git

ขั้นตอนที่ 3:ย้ายเทอร์มินัลเซสชันจากไดเร็กทอรีเริ่มต้น (โฮม) ไปยังโฟลเดอร์tigerใหม่ที่มีไฟล์ pkgbuild

cd เสือ

ขั้นตอนที่ 4:สร้างตัวติดตั้ง Arch สำหรับ Tiger การสร้างแพ็คเกจทำได้ด้วยคำสั่งmakepkgแต่ระวัง: บางครั้งการสร้างแพ็คเกจไม่ทำงานเนื่องจากปัญหาการพึ่งพา หากสิ่งนี้เกิดขึ้นกับคุณ ให้ตรวจสอบหน้าTiger AUR อย่างเป็นทางการสำหรับการอ้างอิง อย่าลืมอ่านความคิดเห็นด้วย เนื่องจากผู้ใช้รายอื่นอาจมีข้อมูลเชิงลึก

makepkg -ศรี

Fedora และ OpenSUSE

น่าเศร้าที่ทั้ง Fedora, OpenSUSE และลีนุกซ์ที่ใช้ RPM/RedHat อื่น ๆ ไม่มีแพ็คเกจไบนารีที่ติดตั้งง่ายเพื่อติดตั้ง Tiger ด้วย ที่จะใช้พิจารณาการแปลงแพคเกจ DEB กับคนต่างด้าว หรือทำตามคำแนะนำซอร์สโค้ดด้านล่าง

ลินุกซ์ทั่วไป

ในการสร้างแอป Tiger จากแหล่งที่มา คุณจะต้องโคลนโค้ด เปิดเทอร์มินัลแล้วดำเนินการดังต่อไปนี้:

โคลน git https://git.savannah.nongnu.org/git/tiger.git

ติดตั้งโปรแกรมโดยรันเชลล์สคริปต์ที่รวมอยู่

sudo ./install.sh

หรือหากคุณต้องการเรียกใช้ (แทนที่จะติดตั้ง) ให้ทำดังต่อไปนี้:

sudo ./tiger

ตรวจสอบรูทคิทบน Linux

Tiger เป็นแอปพลิเคชั่นอัตโนมัติ ไม่มีตัวเลือกหรือสวิตช์เฉพาะที่ผู้ใช้สามารถใช้ในบรรทัดคำสั่ง ผู้ใช้ไม่สามารถเพียงแค่ "เรียกใช้ rootkit" ตัวเลือกเพื่อตรวจสอบได้ ผู้ใช้ต้องใช้ Tiger และทำการสแกนแบบเต็มแทน

ทุกครั้งที่โปรแกรมทำงาน โปรแกรมจะสแกนภัยคุกคามความปลอดภัยประเภทต่างๆ มากมายในระบบ คุณจะสามารถเห็นทุกอย่างที่มันสแกน บางสิ่งที่ Tiger สแกนคือ:

• ไฟล์รหัสผ่าน Linux
• .rhost ไฟล์
• ไฟล์ .netrc
• ttytab, securetty และไฟล์การกำหนดค่าการเข้าสู่ระบบ
• ไฟล์กลุ่ม
• การตั้งค่าเส้นทางทุบตี
• ตรวจสอบรูทคิท
• รายการเริ่มต้น Cron
• การตรวจจับ "การบุกรุก"
• ไฟล์การกำหนดค่า SSH
• กระบวนการฟัง
• ไฟล์การกำหนดค่า FTP

หากต้องการเรียกใช้การสแกนความปลอดภัย Tiger บน Linux ให้รับรูทเชลล์โดยใช้คำสั่งsuหรือsudo -s

ซู -

หรือ

sudo -s

ใช้สิทธิ์ของรูท รันคำสั่งtigerเพื่อเริ่มการตรวจสอบความปลอดภัย

เสือ

ปล่อยให้คำสั่งเสือทำงานและผ่านกระบวนการตรวจสอบ มันจะพิมพ์สิ่งที่สแกนออกมา และการโต้ตอบกับระบบ Linux ของคุณ ปล่อยให้กระบวนการตรวจสอบของ Tiger ดำเนินไป มันจะพิมพ์ตำแหน่งของรายงานความปลอดภัยในเทอร์มินัล

ดูบันทึกเสือ

ในการพิจารณาว่าคุณมีรูทคิทบนระบบ Linux หรือไม่ คุณต้องดูรายงานความปลอดภัย

ไปดูที่รายงานความปลอดภัยเสือใด ๆ เปิดสถานีและใช้ซีดีคำสั่งที่จะย้ายเข้า/ var / log / เสือ

หมายเหตุ: Linux จะไม่อนุญาตให้ผู้ใช้ที่ไม่ใช่รูทใน /var/log คุณต้องใช้su

ซู -

หรือ

sudo -s

จากนั้นเข้าถึงโฟลเดอร์บันทึกด้วย:

cd /var/log/tiger

ในไดเร็กทอรีบันทึกเสือ ให้รันคำสั่งls การใช้คำสั่งนี้จะพิมพ์ไฟล์ทั้งหมดในไดเร็กทอรี

ลส

ใช้เมาส์ของคุณและเน้นไฟล์รายงานความปลอดภัยที่lsเปิดเผยในเทอร์มินัล จากนั้นดูด้วยคำสั่งcat

cat security.report.xxx.xxx-xx:xx

ตรวจสอบรายงานและพิจารณาว่า Tiger ตรวจพบรูทคิตในระบบของคุณหรือไม่

การลบรูทคิทบน Linux

การลบ Rootkits ออกจากระบบ Linux - แม้จะใช้เครื่องมือที่ดีที่สุด แต่ก็ยากและไม่ประสบความสำเร็จ 100% ตลอดเวลา แม้ว่าจะเป็นความจริง แต่ก็มีโปรแกรมที่อาจช่วยขจัดปัญหาประเภทนี้ได้ พวกเขาไม่ได้ผลเสมอไป

ไม่ว่าจะชอบหรือไม่ หาก Tiger ตรวจพบเวิร์มที่เป็นอันตรายบนพีซี Linux ของคุณ วิธีที่ดีที่สุดคือสำรองไฟล์สำคัญของคุณ สร้าง USB ใหม่ และติดตั้งระบบปฏิบัติการใหม่ทั้งหมด