Sådan kontrolleres der for rootkits på Linux med Tiger

Bekymret for, at du muligvis har en rootkit på din Linux-server, desktop eller laptop? Hvis du vil kontrollere, om rootkits findes på dit system eller ikke, og slippe af med dem, skal du først scanne dit system. Et af de bedste værktøjer til at scanne efter rootkits på Linux er Tiger. Når det køres, gør det en komplet sikkerhedsrapport for dit Linux-system der skitserer hvor problemerne er (inklusive rootkits).

I denne vejledning gennemgår vi, hvordan du installerer Tiger-sikkerhedsværktøjet og scanner efter farlige rodkits.

Installer Tiger

Tiger kommer ikke med nogen Linux-distributioner ud af boksen, så inden vi overvejer hvordan man bruger Tiger-sikkerhedsværktøjet på Linux, bliver vi nødt til at undersøge, hvordan du installerer det. Du har brug for Ubuntu, Debian eller Arch Linux at installere Tiger uden at sammenstille kildekoden.

Ubuntu

Tiger har længe været i Ubuntu-softwarekilderne. For at installere det skal du åbne et terminalvindue og køre følgende apt kommando.

sudo apt install tiger

Debian

Debian har Tiger, og det kan installeres med Apt-get install kommando.

sudo apt-get install tiger

Arch Linux

Tiger-sikkerhedssoftwaren er på Arch Linux via AUR. Følg nedenstående trin for at installere softwaren på dit system.

Trin 1: Installer de nødvendige pakker for at installere AUR-pakker manuelt. Disse pakker er Git og Base-devel.

sudo pacman -S git base-devel

Trin 2: Klon Tiger AUR-snapshot til din Arch PC vha git klon kommando.

git klon https://aur.archlinux.org/tiger.git

Trin 3: Flyt terminalsessionen fra dens standardmappe (hjem) til den nye tiger mappe, der indeholder pkgbuild-filen.

cd tiger

Trin 4: Generer et Arch-installationsprogram til Tiger. Opbygning af en pakke er færdig med makepkg kommando, men pas på: undertiden fungerer pakkegenerering ikke på grund af afhængighedsproblemer. Hvis dette sker med dig, skal du kontrollere officiel Tiger AUR side for afhængighederne. Sørg også for at læse kommentarerne, da andre brugere kan have indsigt.

makepkg -sri

Fedora og OpenSUSE

Desværre har både Fedora, OpenSUSE og andre RPM / RedHat-baserede Linux-distributioner ikke en let at installere binær pakke til at installere Tiger med. For at bruge det, overveje at konvertere DEB-pakken med alien. Eller følg kildekodeinstruktionerne nedenfor.

Generisk Linux

For at oprette Tiger-appen fra kilden skal du klone koden. Åbn en terminal, og gør følgende:

git klon https://git.savannah.nongnu.org/git/tiger.git

Installer programmet ved at køre det inkluderede shell-script.

sudo ./install.sh

Alternativt, hvis du gerne vil køre det (i stedet for at installere det), skal du gøre følgende:

sudo ./tiger

Kontroller for rootkits på Linux

Tiger er en automatisk applikation. Det har ikke nogen unikke indstillinger eller switches, som brugere kan bruge på kommandolinjen. Brugeren kan ikke bare "køre rootkit" -muligheden for at se efter en. I stedet skal brugeren bruge Tiger og køre en fuld scanning.

Hver gang programmet kører, foretager det en scanning af mange forskellige typer sikkerhedstrusler på systemet. Du kan se alt, hvad den scanner. Nogle af de ting, som Tiger scanner, er:

• Linux-adgangskodefiler.
• .rhost-filer.
• .netrc-filer.
• konfigurationsfiler til ttytab, securetty og login.
• Gruppér filer.
• Bash stiindstillinger.
• Rootkit-kontrol.
• Cron opstartposter.
• “Indbrud” -detektion.
• SSH-konfigurationsfiler.
• Lytningsprocesser.
• FTP-konfigurationsfiler.

Hvis du vil køre en Tiger-sikkerhedsscanning på Linux, skal du få en rodskal vha su eller sudo -s kommando.

su -

eller

sudo -s

Brug rodrettigheder til at udføre tiger kommando til at starte sikkerhedsrevisionen.

tiger

Lad det tiger kommandokørsel og gå gennem revisionsprocessen. Det udskriver, hvad det scanner, og hvordan det interagerer med dit Linux-system. Lad Tiger-revisionsprocessen køre sin gang; det udskriver placeringen af ​​sikkerhedsrapporten i terminalen.

Se Tiger Logs

For at bestemme, om du har en rootkit på dit Linux-system, skal du se sikkerhedsrapporten.

For at se på enhver Tiger-sikkerhedsrapport skal du åbne en terminal og bruge CD kommando til at flytte ind /var/log/tiger.

Bemærk: Linux tillader ikke ikke-root-brugere i / var / log. Du skal bruge su.

su -

eller

sudo -s

Gå derefter til logmappen med:

cd / var / log / tiger

I Tiger-biblioteket skal du køre ls kommando. Brug af denne kommando udskriver alle filerne i biblioteket.

ls

Tag din mus og fremhæv den sikkerhedsrapportfil ls afslører i terminalen. Derefter kan du se det med kat kommando.

kat sikkerhed.report.xxx.xxx-xx: xx

Se over rapporten, og find ud af om Tiger har fundet en rodkit på dit system.

Fjernelse af rootkits på Linux

At fjerne rodkits fra Linux-systemer - selv med de bedste værktøjer, er hårdt og ikke succesrig 100% af tiden. Mens det er sandt, er der programmer derude, der kan hjælpe med at slippe af med disse slags problemer; de fungerer ikke altid.

Synes godt om det eller ej, hvis Tiger har bestemt en farlig orm på din Linux-pc, er det bedst at tage backup af dine kritiske filer, oprette en ny live USB og geninstallere operativsystemet helt.