Cách kiểm tra rootkit trên Linux với Tiger

Bạn lo lắng rằng bạn có thể có bộ rootkit trên máy chủ Linux, máy tính để bàn hoặc máy tính xách tay của mình? Nếu bạn muốn kiểm tra xem rootkit có hiện diện trên hệ thống của mình hay không và loại bỏ chúng, trước tiên bạn cần phải quét hệ thống của mình. Một trong những công cụ tốt nhất để quét rootkit trên Linux là Tiger. Khi chạy, nó thực hiện một báo cáo bảo mật hoàn chỉnh về hệ thống Linux của bạn, trong đó nêu ra các vấn đề ở đâu (bao gồm cả rootkit).

Trong hướng dẫn này, chúng tôi sẽ giới thiệu cho các bạn cách cài đặt công cụ bảo mật Tiger và quét các Rootkit nguy hiểm.

Cài đặt Tiger

Tiger không đi kèm với bất kỳ bản phân phối Linux nào, vì vậy trước khi xem qua cách sử dụng công cụ bảo mật Tiger trên Linux, chúng ta sẽ cần xem qua cách cài đặt nó. Bạn sẽ cần Ubuntu, Debian hoặc Arch Linux để cài đặt Tiger mà không cần biên dịch mã nguồn.

Ubuntu

Tiger từ lâu đã có mặt trong các nguồn phần mềm Ubuntu. Để cài đặt nó, hãy mở cửa sổ dòng lệnh và chạy lệnh apt sau .

sudo apt install hổ

Debian

Debian có Tiger và nó có thể cài đặt được bằng lệnh Apt-get install.

sudo apt-get install hổ

Arch Linux

Phần mềm bảo mật Tiger có trên Arch Linux thông qua AUR. Làm theo các bước dưới đây để cài đặt phần mềm vào hệ thống của bạn.

Bước 1: Cài đặt các gói cần thiết để cài đặt các gói AUR bằng tay. Các gói này là Git và Base-devel.

sudo pacman -S git base-devel

Bước 2: Sao chép ảnh chụp nhanh Tiger AUR sang PC Arch của bạn bằng lệnh git clone .

git clone https://aur.archlinux.org/tiger.git

Bước 3: Di chuyển phiên đầu cuối từ thư mục mặc định của nó (trang chủ) sang thư mục tiger mới chứa tệp pkgbuild.

cd hổ

Bước 4: Tạo trình cài đặt Arch cho Tiger. Việc xây dựng một gói được thực hiện bằng lệnh makepkg , nhưng hãy lưu ý: đôi khi việc tạo gói không hoạt động do các vấn đề phụ thuộc. Nếu điều này xảy ra với bạn, hãy kiểm tra trang Tiger AUR chính thức để biết các yếu tố phụ thuộc. Hãy chắc chắn cũng đọc các bình luận, vì những người dùng khác có thể có thông tin chi tiết.

makepkg -sri

Fedora và OpenSUSE

Đáng buồn thay, cả Fedora, OpenSUSE và các bản phân phối Linux dựa trên RPM / RedHat khác đều không có gói nhị phân dễ cài đặt để cài đặt Tiger. Để sử dụng nó, hãy xem xét chuyển đổi gói DEB với người nước ngoài . Hoặc làm theo hướng dẫn mã nguồn bên dưới.

Linux chung

Để tạo ứng dụng Tiger từ nguồn, bạn cần sao chép mã. Mở một thiết bị đầu cuối và thực hiện như sau:

git clone https://git.savannah.nongnu.org/git/tiger.git

Cài đặt chương trình bằng cách chạy tập lệnh shell bao gồm.

sudo ./install.sh

Ngoài ra, nếu bạn muốn chạy nó (thay vì cài đặt nó), hãy làm như sau:

sudo ./tiger

Kiểm tra rootkit trên Linux

Tiger là một ứng dụng tự động. Nó không có bất kỳ tùy chọn hoặc công tắc duy nhất nào mà người dùng có thể sử dụng trong dòng lệnh. Người dùng không thể chỉ "chạy rootkit" để kiểm tra một tùy chọn. Thay vào đó, người dùng phải sử dụng Tiger và quét toàn bộ.

Mỗi lần chương trình chạy, nó sẽ quét nhiều loại mối đe dọa bảo mật khác nhau trên hệ thống. Bạn sẽ có thể xem mọi thứ mà nó đang quét. Một số điều mà Tiger quét là:

• Các tệp mật khẩu Linux.
• các tệp .rhost.
• các tệp .netrc.
• ttytab, securetty và các tệp cấu hình đăng nhập.
• Nhóm các tệp.
• Cài đặt đường dẫn bash.
• Kiểm tra rootkit.
• Các mục khởi động cron.
• Phát hiện "đột nhập".
• Các tệp cấu hình SSH.
• Các quy trình lắng nghe.
• Các tệp cấu hình FTP.

Để chạy quét bảo mật Tiger trên Linux, hãy lấy root shell bằng lệnh su hoặc sudo -s .

su -

hoặc là

sudo -s

Sử dụng đặc quyền root, thực hiện lệnh tiger để bắt đầu kiểm tra bảo mật.

con hổ

Hãy để lệnh hổ chạy và thực hiện quy trình kiểm toán. Nó sẽ in ra những gì nó đang quét và cách nó tương tác với hệ thống Linux của bạn. Hãy để quá trình kiểm toán Tiger chạy theo quy trình của nó; nó sẽ in ra vị trí của báo cáo bảo mật trong thiết bị đầu cuối.

Xem nhật ký hổ

Để xác định xem bạn có rootkit trên hệ thống Linux của mình hay không, bạn phải xem báo cáo bảo mật.

Để xem bất kỳ báo cáo bảo mật nào của Tiger, hãy mở một thiết bị đầu cuối và sử dụng lệnh CD để di chuyển vào / var / log / tiger .

Lưu ý: Linux sẽ không cho phép người dùng không phải root trong / var / log. Bạn phải sử dụng su .

su -

hoặc là

sudo -s

Sau đó, truy cập thư mục nhật ký bằng:

cd / var / log / tiger

Trong thư mục Tiger log, chạy lệnh ls . Sử dụng lệnh này sẽ in ra tất cả các tệp trong thư mục.

ls

Hãy chuột của bạn và làm nổi bật các tập tin báo cáo bảo mật ls cho thấy tại nhà ga. Sau đó, xem nó bằng lệnh mèo .

cat security.report.xxx.xxx-xx: xx

Xem qua báo cáo và xác định xem Tiger có phát hiện thấy rootkit trên hệ thống của bạn hay không.

Xóa rootkit trên Linux

Việc xóa Rootkit khỏi hệ thống Linux - ngay cả với các công cụ tốt nhất, rất khó và không phải lúc nào cũng thành công 100%. Mặc dù đúng là có những chương trình có thể giúp loại bỏ những loại vấn đề này; không phải lúc nào chúng cũng hoạt động.

Dù muốn hay không, nếu Tiger đã xác định được một loại sâu nguy hiểm trên PC Linux của bạn, tốt nhất bạn nên sao lưu các tệp quan trọng của mình, tạo một USB trực tiếp mới và cài đặt lại toàn bộ hệ điều hành.