Беспокоитесь, что на вашем сервере Linux, настольном компьютере или ноутбуке может быть руткит? Если вы хотите проверить наличие руткитов в вашей системе и избавиться от них, вам необходимо сначала просканировать вашу систему. Tiger — один из лучших инструментов для поиска руткитов в Linux. При запуске он составляет полный отчет о безопасности вашей системы Linux, в котором указаны проблемы (включая руткиты).
В этом руководстве мы рассмотрим, как установить инструмент безопасности Tiger и выполнить сканирование на наличие опасных руткитов.
Оглавление
Установить Тигр
Tiger не поставляется с какими-либо дистрибутивами Linux из коробки, поэтому, прежде чем переходить к тому, как использовать инструмент безопасности Tiger в Linux, нам нужно будет узнать, как его установить. Вам понадобится Ubuntu, Debian или Arch Linux для установки Tiger без компиляции исходного кода.
Ubuntu
Tiger уже давно присутствует в источниках программного обеспечения Ubuntu. Чтобы установить его, откройте окно терминала и выполните следующую команду apt.
sudo apt install tiger
Debian
В Debian есть Tiger, и его можно установить с помощью команды Apt-get install.
sudo apt-get install tiger
Arch Linux
Программное обеспечение безопасности Tiger находится в Arch Linux через AUR. Следуйте инструкциям ниже, чтобы установить программное обеспечение в вашей системе.
Шаг 1. Установите пакеты, необходимые для установки пакетов AUR вручную. Это пакеты Git и Base-devel.
sudo pacman -S git base-devel
Шаг 2: Клонируйте снимок Tiger AUR на свой компьютер Arch с помощью команды git clone.
git clone https://aur.archlinux.org/tiger.git
Шаг 3. Переместите сеанс терминала из каталога по умолчанию (домашнего) в новую папку tiger, в которой находится файл pkgbuild.
cd tiger
Шаг 4: Создайте установщик Arch для Tiger. Сборка пакета выполняется с помощью команды makepkg, но будьте осторожны: иногда создание пакета не работает из-за проблем с зависимостями. Если это случилось с вами, проверьте официальная страница Tiger AUR для зависимостей. Не забудьте также прочитать комментарии, так как другие пользователи могут иметь представление.
makepkg -sri
Fedora и OpenSUSE
К сожалению, и Fedora, и OpenSUSE, и другие дистрибутивы Linux на основе RPM / RedHat не имеют простого в установке двоичного пакета для установки Tiger. Чтобы использовать его, подумайте о преобразовании пакета DEB с alien. Или следуйте приведенным ниже инструкциям по исходному коду.
Общий Linux
Чтобы собрать приложение Tiger из исходного кода, вам необходимо клонировать код. Откройте терминал и сделайте следующее:
git clone https://git.savannah.nongnu.org/git/tiger.git
Установите программу, запустив прилагаемый сценарий оболочки.
sudo ./install.sh
В качестве альтернативы, если вы хотите запустить его (а не устанавливать), сделайте следующее:
sudo ./tiger
Проверьте наличие руткитов в Linux
Тигр — автоматическое приложение. У него нет каких-либо уникальных параметров или переключателей, которые пользователи могут использовать в командной строке. Пользователь не может просто «запустить руткит», чтобы проверить его. Вместо этого пользователь должен использовать Tiger и запустить полное сканирование.
Каждый раз, когда программа запускается, она проверяет систему на наличие множества различных типов угроз безопасности. Вы сможете увидеть все, что он сканирует. Вот некоторые из вещей, которые сканирует Tiger:
Файлы паролей Linux.
.rhost файлы.
.netrc файлы.
ttytab, securetty и файлы конфигурации входа в систему.
Группировать файлы.
Настройки пути в Bash.
Проверяет руткит.
Записи запуска Cron.
Обнаружение «взлома».
Файлы конфигурации SSH.
Прослушивание процессов.
Файлы конфигурации FTP.
Чтобы запустить сканирование безопасности Tiger в Linux, получите оболочку root с помощью команды su или sudo -s.
su -
или же
sudo -s
Используя привилегии root, выполните команду tiger, чтобы запустить аудит безопасности.
tiger
Позвольте команде tiger запуститься и пройти процесс аудита. Он распечатает то, что сканирует, и как он взаимодействует с вашей системой Linux. Позвольте процессу аудита Tiger идти своим чередом; он распечатает местоположение отчета о безопасности в терминале.
Просмотр журналов тигра
Чтобы определить, есть ли у вас руткит в вашей системе Linux, вы должны просмотреть отчет о безопасности.
Чтобы просмотреть любой отчет о безопасности Tiger, откройте терминал и используйте команду CD для перехода в / var / log / tiger.
Примечание: Linux не позволяет пользователям без полномочий root заходить в / var / log. Вы должны использовать su.
su -
или же
sudo -s
Затем войдите в папку журнала с помощью:
cd /var/log/tiger
В каталоге журнала Tiger выполните команду ls. Использование этой команды позволяет распечатать все файлы в каталоге.
ls
Выделите мышью файл отчета о безопасности, который ls показывает в терминале. Затем просмотрите его с помощью команды cat.
cat security.report.xxx.xxx-xx:xx
Просмотрите отчет и определите, обнаружил ли Tiger руткит в вашей системе.
Удаление руткитов в Linux
Удаление руткитов из систем Linux — даже с помощью лучших инструментов — сложно и безуспешно в 100% случаев. Хотя это правда, существуют программы, которые могут помочь избавиться от такого рода проблем; они не всегда работают.
Нравится вам это или нет, но если Tiger обнаружил опасного червя на вашем ПК с Linux, лучше всего сделать резервную копию ваших важных файлов, создать новый действующий USB-накопитель и полностью переустановить операционную систему.