Притеснявате се, че може да имате руткит на вашия Linux сървър, настолен компютър или лаптоп? Ако искате да проверите дали руткитовете присъстват във вашата система и да се отървете от тях, първо ще трябва да сканирате системата си. Един от най-добрите инструменти за сканиране за руткити в Linux е Tiger. Когато се стартира, той прави пълен доклад за сигурността на вашата Linux система, който очертава къде са проблемите (включително руткитовете).
В това ръководство ще разгледаме как да инсталираме инструмента за сигурност Tiger и да сканираме за опасни руткити.
Съдържание
Инсталирайте Tiger
Tiger не идва с никакви дистрибуции на Linux от кутията, така че преди да разгледаме как да използваме инструмента за сигурност Tiger на Linux, ще трябва да разгледаме как да го инсталираме. Ще ви трябва Ubuntu, Debian или Arch Linux, за да инсталирате Tiger, без да компилирате изходния код.
Ubuntu
Tiger отдавна е в софтуерните източници на Ubuntu. За да го инсталирате, отворете прозорец на терминала и изпълнете следната команда apt.
sudo apt install tiger
Debian
Debian има Tiger и може да се инсталира с командата Apt-get install.
sudo apt-get install tiger
Arch Linux
Софтуерът за сигурност на Tiger е на Arch Linux чрез AUR. Следвайте стъпките по-долу, за да инсталирате софтуера на вашата система.
Стъпка 1: Инсталирайте пакетите, необходими за инсталиране на AUR пакети на ръка. Тези пакети са Git и Base-devel.
sudo pacman -S git base-devel
Стъпка 2: Клонирайте моментната снимка на Tiger AUR на вашия Arch PC с помощта на командата git clone.
git clone https://aur.archlinux.org/tiger.git
Стъпка 3: Преместете сесията на терминала от директорията по подразбиране (домашна) в новата папка тигър, която съдържа файла pkgbuild.
cd tiger
Стъпка 4: Генерирайте инсталатор на Arch за Tiger. Създаването на пакет се извършва с командата makepkg, но внимавайте: понякога генерирането на пакет не работи поради проблеми със зависимостта. Ако това ви се случи, проверете официална страница на Tiger AUR за зависимостите. Не забравяйте да прочетете и коментарите, тъй като други потребители може да имат прозрения.
makepkg -sri
Fedora и OpenSUSE
За съжаление, както Fedora, OpenSUSE, така и други базирани на RPM/RedHat Linux дистрибуции нямат лесен за инсталиране двоичен пакет, с който да инсталирате Tiger. За да го използвате, помислете за конвертиране на DEB пакета с alien. Или следвайте инструкциите за изходния код по-долу.
Генеричен Linux
За да създадете приложението Tiger от източник, ще трябва да клонирате кода. Отворете терминал и направете следното:
git clone https://git.savannah.nongnu.org/git/tiger.git
Инсталирайте програмата, като стартирате включения шел скрипт.
sudo ./install.sh
Като алтернатива, ако искате да го стартирате (вместо да го инсталирате), направете следното:
sudo ./tiger
Проверете за руткити в Linux
Tiger е автоматично приложение. Той няма уникални опции или превключватели, които потребителите могат да използват в командния ред. Потребителят не може просто да „изпълни руткита“, за да провери за такъв. Вместо това потребителят трябва да използва Tiger и да изпълни пълно сканиране.
Всеки път, когато програмата се изпълнява, тя сканира много различни видове заплахи за сигурността на системата. Ще можете да видите всичко, което сканира. Някои от нещата, които Tiger сканира, са:
Файлове с пароли за Linux.
.rhost файлове.
.netrc файлове.
ttytab, securetty и конфигурационни файлове за вход.
Групови файлове.
Настройки на пътя на Bash.
Проверки на руткит.
Записи за стартиране на Cron.
Откриване на „пробив“.
SSH конфигурационни файлове.
Процеси на слушане.
FTP конфигурационни файлове.
За да стартирате сканиране за сигурност на Tiger на Linux, вземете root шел с помощта на командата su или sudo -s.
su -
или
sudo -s
Използвайки root привилегии, изпълнете командата tiger, за да стартирате одита на сигурността.
tiger
Оставете командата tiger да изпълни и преминете през процеса на одит. Той ще разпечата какво сканира и как взаимодейства с вашата Linux система. Оставете процеса на одит на Tiger да тече по своя ход; той ще отпечата местоположението на доклада за сигурност в терминала.
Преглед на Tiger Logs
За да определите дали имате руткит на вашата Linux система, трябва да видите отчета за сигурността.
За да разгледате всеки доклад за сигурността на Tiger, отворете терминал и използвайте командата CD, за да преминете в /var/log/tiger.
Забележка: Linux няма да позволи на потребители без root права в /var/log. Трябва да използвате su.
su -
или
sudo -s
След това влезте в папката на журнала с:
cd /var/log/tiger
В директорията на Tiger log изпълнете командата ls. Използването на тази команда разпечатва всички файлове в директорията.
ls
Вземете мишката и маркирайте файла с отчет за сигурността, който се разкрива в терминала. След това го прегледайте с командата cat.
cat security.report.xxx.xxx-xx:xx
Прегледайте отчета и определете дали Tiger е открил руткит във вашата система.
Премахване на руткити в Linux
Премахването на руткити от Linux системи — дори и с най-добрите инструменти, е трудно и не е успешно в 100% от времето. Въпреки че е вярно, има програми, които могат да помогнат да се отървете от този вид проблеми; те не винаги работят.
Харесва ли ви или не, ако Tiger е определил опасен червей на вашия компютър с Linux, най-добре е да архивирате вашите критични файлове, да създадете нов жив USB и да инсталирате отново операционната система напълно.