Jak sprawdzić rootkity w systemie Linux za pomocą Tiger

Obawiasz się, że na Twoim serwerze Linux, komputerze stacjonarnym lub laptopie może być zainstalowany rootkit? Jeśli chcesz sprawdzić obecność rootkitów w swoim systemie i je usunąć, pierwszym krokiem jest przeprowadzenie skanowania systemu. Jednym z najskuteczniejszych narzędzi do wykrywania rootkitów w systemie Linux jest Tiger. Po jego uruchomieniu generuje on szczegółowy raport dotyczący bezpieczeństwa systemu, wskazując lokalizacje ewentualnych problemów, w tym rootkitów.

W tym artykule krok po kroku przedstawimy, jak zainstalować narzędzie Tiger i przeprowadzić skanowanie w celu wykrycia potencjalnych rootkitów.

Instalacja Tiger

Tiger nie jest dostępny w żadnej dystrybucji Linuksa standardowo, dlatego przed rozpoczęciem korzystania z tego narzędzia konieczna jest jego instalacja. Możesz zainstalować Tiger bez konieczności kompilacji kodu źródłowego, jeśli korzystasz z systemu Ubuntu, Debian lub Arch Linux.

Ubuntu

Tiger jest dostępny w repozytoriach Ubuntu. Aby go zainstalować, otwórz terminal i uruchom poniższe polecenie:

sudo apt install tiger

Debian

W systemie Debian również można zainstalować Tiger przy użyciu polecenia Apt-get:

sudo apt-get install tiger

Arch Linux

Dla użytkowników Arch Linux Tiger jest dostępny poprzez AUR. Aby zainstalować to oprogramowanie, wykonaj następujące kroki:

Krok 1: Zainstaluj wymagane pakiety do ręcznego instalowania pakietów AUR, czyli Git oraz Base-devel.

sudo pacman -S git base-devel

Krok 2: Sklonuj repozytorium Tiger AUR na swój komputer Arch, korzystając z polecenia git clone.

git clone https://aur.archlinux.org/tiger.git

Krok 3: Zmień katalog roboczy na folder Tigera, który zawiera plik pkgbuild.

cd tiger

Krok 4: Wygeneruj instalator Arch dla Tigera. Tworzenie pakietu odbywa się za pomocą polecenia makepkg, ale pamiętaj, że czasami mogą wystąpić problemy z zależnościami. W takim przypadku sprawdź oficjalną stronę Tiger AUR w poszukiwaniu brakujących zależności. Możesz również przeczytać komentarze innych użytkowników, którzy mogą podzielić się swoimi doświadczeniami.

makepkg -sri

Fedora i OpenSUSE

Niestety, Fedora, OpenSUSE oraz inne dystrybucje Linuksa oparte na RPM/RedHat nie oferują łatwego do zainstalowania pakietu binarnego dla Tiger. Jeśli chcesz skorzystać z tego narzędzia, rozważ konwersję pakietu DEB za pomocą alien lub postępuj zgodnie z instrukcjami kompilacji ze źródła podanymi poniżej.

Ogólny Linux

Aby zbudować aplikację Tiger ze źródła, musisz sklonować repozytorium. Otwórz terminal i wprowadź poniższe polecenie:

git clone https://git.savannah.nongnu.org/git/tiger.git

Następnie zainstaluj program, uruchamiając dołączony skrypt powłoki.

sudo ./install.sh

Jeśli zamiast instalacji chcesz po prostu uruchomić Tiger, wykonaj poniższe polecenie:

sudo ./tiger

Wykrywanie rootkitów w systemie Linux

Tiger to aplikacja, która działa automatycznie. Nie oferuje żadnych szczególnych opcji czy przełączników do użycia w wierszu poleceń. Użytkownik nie może po prostu „uruchomić rootkita”, aby go sprawdzić. Zamiast tego należy uruchomić Tigera, aby przeprowadzić kompleksowe skanowanie.

Podczas każdego uruchomienia program skanuje wiele różnych typów zagrożeń bezpieczeństwa w systemie. Będziesz mógł zobaczyć, co dokładnie jest skanowane. Tiger sprawdza m.in.:

  • Pliki haseł w systemie Linux
  • Pliki .rhosts
  • Pliki .netrc
  • ttytab, securetty oraz inne pliki konfiguracyjne logowania
  • Pliki grupowe
  • Ustawienia ścieżek basowych
  • Wykrywanie rootkitów
  • Wpisy startowe Cron
  • Detekcja „włamań”
  • Pliki konfiguracyjne SSH
  • Procesy nasłuchujące
  • Pliki konfiguracyjne FTP

Aby rozpocząć skanowanie bezpieczeństwa Tiger w systemie Linux, uzyskaj dostęp do powłoki roota za pomocą polecenia su lub sudo -s.

su -

lub

sudo -s

Z uprawnieniami roota uruchom polecenie tiger, aby rozpocząć audyt bezpieczeństwa.

tiger

Wydanie polecenia tiger rozpocznie proces audytu. Program wyświetli informacje dotyczące skanowanych elementów oraz interakcji z systemem Linux. Pozwól, aby proces audytu przebiegał do końca; na koniec wyświetli lokalizację raportu bezpieczeństwa w terminalu.

Przeglądanie dzienników Tiger

Aby ustalić, czy w systemie Linux znajduje się rootkit, będziesz musiał zapoznać się z raportem bezpieczeństwa.

Aby przeglądać raport Tiger, otwórz terminal i użyj polecenia CD, aby przejść do katalogu /var/log/tiger.

Uwaga: Tylko użytkownicy z uprawnieniami roota mają dostęp do /var/log. Dlatego musisz użyć su.

su -

lub

sudo -s

Następnie przejdź do folderu logów za pomocą polecenia:

cd /var/log/tiger

W katalogu logów Tiger uruchom komendę ls, aby wyświetlić wszystkie pliki w tym folderze.

ls

Wybierz plik raportu bezpieczeństwa, który pojawi się w terminalu, a następnie wyświetl jego zawartość przy pomocy polecenia cat.

cat security.report.xxx.xxx-xx:xx

Przeanalizuj raport i sprawdź, czy Tiger wykrył rootkita w Twoim systemie.

Usuwanie rootkitów w systemie Linux

Usunięcie rootkitów z systemów Linux może być skomplikowane, nawet przy użyciu najlepszych narzędzi, i nie zawsze zakończy się sukcesem. Istnieją programy, które mogą pomóc w eliminacji tych zagrożeń, ale nie zawsze działają skutecznie.

Bez względu na to, co zrobisz, jeśli Tiger wykryje niebezpiecznego robaka na Twoim komputerze z systemem Linux, najlepiej jest wykonać kopię zapasową istotnych plików, stworzyć nowy nośnik USB z systemem i całkowicie zainstalować system operacyjny na nowo.


newsblog.pl