Ανησυχείτε ότι μπορεί να έχετε ένα rootkit στον διακομιστή Linux, τον επιτραπέζιο υπολογιστή ή τον φορητό υπολογιστή σας; Εάν θέλετε να ελέγξετε εάν υπάρχουν ή όχι rootkits στο σύστημά σας και να απαλλαγείτε από αυτά, θα πρέπει πρώτα να σαρώσετε το σύστημά σας. Ένα από τα καλύτερα εργαλεία για σάρωση για rootkits στο Linux είναι το Tiger. Όταν εκτελείται, κάνει μια πλήρη αναφορά ασφάλειας του συστήματος Linux που περιγράφει πού βρίσκονται τα προβλήματα (συμπεριλαμβανομένων των rootkits).
Σε αυτόν τον οδηγό, θα εξετάσουμε τον τρόπο εγκατάστασης του εργαλείου ασφαλείας Tiger και σάρωση για επικίνδυνα Rootkits.
Πίνακας περιεχομένων
Εγκαταστήστε το Tiger
Το Tiger δεν συνοδεύεται από διανομές Linux από το κουτί, επομένως προτού εξετάσουμε τον τρόπο χρήσης του εργαλείου ασφαλείας Tiger στο Linux, θα πρέπει να δούμε πώς να το εγκαταστήσουμε. Θα χρειαστείτε Ubuntu, Debian ή Arch Linux για να εγκαταστήσετε το Tiger χωρίς να έχετε μεταγλωττίσει τον πηγαίο κώδικα.
Ubuntu
Το Tiger βρίσκεται εδώ και πολύ καιρό στις πηγές λογισμικού του Ubuntu. Για να το εγκαταστήσετε, ανοίξτε ένα παράθυρο τερματικού και εκτελέστε την ακόλουθη εντολή apt.
sudo apt install tiger
Debian
Το Debian έχει Tiger και μπορεί να εγκατασταθεί με την εντολή εγκατάστασης Apt-get.
sudo apt-get install tiger
Arch Linux
Το λογισμικό ασφαλείας Tiger είναι στο Arch Linux μέσω του AUR. Ακολουθήστε τα παρακάτω βήματα για να εγκαταστήσετε το λογισμικό στο σύστημά σας.
Βήμα 1: Εγκαταστήστε τα πακέτα που απαιτούνται για την εγκατάσταση πακέτων AUR με το χέρι. Αυτά τα πακέτα είναι Git και Base-devel.
sudo pacman -S git base-devel
Βήμα 2: Κλωνοποιήστε το στιγμιότυπο Tiger AUR στον υπολογιστή Arch χρησιμοποιώντας την εντολή git clone.
git clone https://aur.archlinux.org/tiger.git
Βήμα 3: Μετακινήστε την περίοδο λειτουργίας τερματικού από τον προεπιλεγμένο κατάλογο (αρχική σελίδα) στον νέο φάκελο tiger που περιέχει το αρχείο pkgbuild.
cd tiger
Βήμα 4: Δημιουργήστε ένα πρόγραμμα εγκατάστασης Arch για το Tiger. Η δημιουργία ενός πακέτου γίνεται με την εντολή makepkg, αλλά προσέξτε: μερικές φορές η δημιουργία πακέτου δεν λειτουργεί λόγω προβλημάτων εξάρτησης. Εάν συμβεί αυτό σε εσάς, ελέγξτε το επίσημη σελίδα Tiger AUR για τις εξαρτήσεις. Φροντίστε επίσης να διαβάσετε τα σχόλια, καθώς άλλοι χρήστες μπορεί να έχουν πληροφορίες.
makepkg -sri
Fedora και OpenSUSE
Δυστυχώς, τόσο το Fedora, το OpenSUSE όσο και άλλες διανομές Linux που βασίζονται σε RPM/RedHat δεν έχουν εύκολο στην εγκατάσταση δυαδικό πακέτο για την εγκατάσταση του Tiger. Για να το χρησιμοποιήσετε, σκεφτείτε να μετατρέψετε το πακέτο DEB με alien. Ή ακολουθήστε τις οδηγίες του πηγαίου κώδικα παρακάτω.
Γενικό Linux
Για να δημιουργήσετε την εφαρμογή Tiger από την πηγή, θα χρειαστεί να κλωνοποιήσετε τον κώδικα. Ανοίξτε ένα τερματικό και κάντε τα εξής:
git clone https://git.savannah.nongnu.org/git/tiger.git
Εγκαταστήστε το πρόγραμμα εκτελώντας το σενάριο του κελύφους που περιλαμβάνεται.
sudo ./install.sh
Εναλλακτικά, εάν θέλετε να το εκτελέσετε (αντί να το εγκαταστήσετε) κάντε τα εξής:
sudo ./tiger
Ελέγξτε για rootkits στο Linux
Το Tiger είναι μια αυτόματη εφαρμογή. Δεν έχει μοναδικές επιλογές ή διακόπτες που μπορούν να χρησιμοποιήσουν οι χρήστες στη γραμμή εντολών. Ο χρήστης δεν μπορεί απλώς να «τρέξει το rootkit» για να ελέγξει για ένα. Αντίθετα, ο χρήστης πρέπει να χρησιμοποιήσει το Tiger και να εκτελέσει μια πλήρη σάρωση.
Κάθε φορά που εκτελείται το πρόγραμμα, πραγματοποιεί σάρωση πολλών διαφορετικών τύπων απειλών ασφαλείας στο σύστημα. Θα μπορείτε να δείτε όλα όσα σαρώνει. Μερικά από τα πράγματα που σαρώνει ο Τίγρης είναι:
Αρχεία κωδικού πρόσβασης Linux.
Αρχεία .rhost.
Αρχεία .netrc.
ttytab, safetty και αρχεία διαμόρφωσης σύνδεσης.
Ομαδικά αρχεία.
Ρυθμίσεις διαδρομής Bash.
Έλεγχοι rootkit.
Εγγραφές εκκίνησης Cron.
Ανίχνευση «διάρρηξης».
Αρχεία διαμόρφωσης SSH.
Διαδικασίες ακρόασης.
Αρχεία διαμόρφωσης FTP.
Για να εκτελέσετε μια σάρωση ασφαλείας Tiger στο Linux, αποκτήστε ένα κέλυφος root χρησιμοποιώντας την εντολή su ή sudo -s.
su -
ή
sudo -s
Χρησιμοποιώντας δικαιώματα root, εκτελέστε την εντολή tiger για να ξεκινήσετε τον έλεγχο ασφαλείας.
tiger
Αφήστε την εντολή tiger να τρέξει και περάστε από τη διαδικασία ελέγχου. Θα εκτυπώσει τι σαρώνει και πώς αλληλεπιδρά με το σύστημά σας Linux. Αφήστε τη διαδικασία ελέγχου Tiger να συνεχίσει την πορεία της. θα εκτυπώσει τη θέση της αναφοράς ασφαλείας στο τερματικό.
Προβολή κορμών τίγρης
Για να προσδιορίσετε εάν έχετε rootkit στο σύστημα Linux, πρέπει να προβάλετε την αναφορά ασφαλείας.
Για να δείτε οποιαδήποτε αναφορά ασφάλειας Tiger, ανοίξτε ένα τερματικό και χρησιμοποιήστε την εντολή CD για να μεταβείτε στο /var/log/tiger.
Σημείωση: Το Linux δεν επιτρέπει σε χρήστες που δεν είναι root στο /var/log. Πρέπει να χρησιμοποιήσετε su.
su -
ή
sudo -s
Στη συνέχεια, αποκτήστε πρόσβαση στο φάκελο καταγραφής με:
cd /var/log/tiger
Στον κατάλογο καταγραφής Tiger, εκτελέστε την εντολή ls. Χρησιμοποιώντας αυτήν την εντολή εκτυπώνονται όλα τα αρχεία στον κατάλογο.
ls
Πάρτε το ποντίκι σας και επισημάνετε το αρχείο αναφοράς ασφαλείας που αποκαλύπτεται στο τερματικό. Στη συνέχεια, δείτε το με την εντολή cat.
cat security.report.xxx.xxx-xx:xx
Κοιτάξτε την αναφορά και προσδιορίστε εάν η Tiger έχει εντοπίσει ένα rootkit στο σύστημά σας.
Αφαίρεση rootkits στο Linux
Η κατάργηση των Rootkit από συστήματα Linux — ακόμη και με τα καλύτερα εργαλεία, είναι δύσκολη και δεν είναι επιτυχής το 100% των περιπτώσεων. Αν και είναι αλήθεια, υπάρχουν προγράμματα εκεί έξω που μπορεί να σας βοηθήσουν να απαλλαγείτε από τέτοιου είδους ζητήματα. δεν λειτουργούν πάντα.
Είτε σας αρέσει είτε όχι, εάν ο Tiger έχει εντοπίσει έναν επικίνδυνο ιό τύπου worm στον υπολογιστή σας Linux, είναι καλύτερο να δημιουργήσετε αντίγραφα ασφαλείας των κρίσιμων αρχείων σας, να δημιουργήσετε ένα νέο ζωντανό USB και να εγκαταστήσετε ξανά το λειτουργικό σύστημα συνολικά.