Obáváte se, že máte na svém linuxovém serveru, stolním počítači nebo notebooku rootkit? Chcete-li zkontrolovat, zda jsou ve vašem systému přítomny rootkity, a zbavit se jich, musíte nejprve systém prohledat. Jedním z nejlepších nástrojů pro skenování rootkitů v Linuxu je Tiger. Po spuštění vygeneruje kompletní bezpečnostní zprávu vašeho systému Linux, která nastiňuje, kde jsou problémy (včetně rootkitů).
V této příručce si projdeme, jak nainstalovat bezpečnostní nástroj Tiger a vyhledávat nebezpečné rootkity.
Table of Contents
Nainstalujte Tiger
Tiger nepřichází s žádnou distribucí Linuxu ihned po vybalení, takže než se podíváme na to, jak používat bezpečnostní nástroj Tiger v Linuxu, musíme si projít, jak jej nainstalovat. K instalaci Tiger bez kompilace zdrojového kódu budete potřebovat Ubuntu, Debian nebo Arch Linux.
Ubuntu
Tiger je již dlouho ve zdrojích softwaru Ubuntu. Chcete-li jej nainstalovat, otevřete okno terminálu a spusťte následující příkaz apt.
sudo apt install tiger
Debian
Debian má Tiger a lze jej nainstalovat pomocí příkazu Apt-get install.
sudo apt-get install tiger
Arch Linux
Bezpečnostní software Tiger je na Arch Linuxu prostřednictvím AUR. Při instalaci softwaru do systému postupujte podle následujících kroků.
Krok 1: Ručně nainstalujte balíčky potřebné k instalaci balíčků AUR. Tyto balíčky jsou Git a Base-devel.
sudo pacman -S git base-devel
Krok 2: Naklonujte snímek Tiger AUR do počítače Arch pomocí příkazu git clone.
git clone https://aur.archlinux.org/tiger.git
Krok 3: Přesuňte relaci terminálu z jejího výchozího adresáře (domovského) do nové složky tiger, která obsahuje soubor pkgbuild.
cd tiger
Krok 4: Vygenerujte instalační program Arch pro Tiger. Sestavení balíčku se provádí pomocí příkazu makepkg, ale pozor: někdy generování balíčku nefunguje kvůli problémům se závislostí. Pokud se vám to stane, zkontrolujte oficiální stránka Tiger AUR pro závislosti. Nezapomeňte si také přečíst komentáře, protože ostatní uživatelé mohou mít postřehy.
makepkg -sri
Fedora a OpenSUSE
Je smutné, že Fedora, OpenSUSE a další linuxové distribuce založené na RPM/RedHat nemají snadno instalovatelný binární balíček pro instalaci Tigera. Chcete-li jej použít, zvažte konverzi balíčku DEB pomocí alien. Nebo postupujte podle pokynů pro zdrojový kód níže.
Obecný Linux
Chcete-li sestavit aplikaci Tiger ze zdroje, budete muset naklonovat kód. Otevřete terminál a proveďte následující:
git clone https://git.savannah.nongnu.org/git/tiger.git
Nainstalujte program spuštěním přiloženého shell skriptu.
sudo ./install.sh
Případně, pokud jej chcete spustit (místo instalace), proveďte následující:
sudo ./tiger
Zkontrolujte rootkity v Linuxu
Tiger je automatická aplikace. Nemá žádné jedinečné možnosti nebo přepínače, které by uživatelé mohli použít v příkazovém řádku. Uživatel nemůže jednoduše „spustit rootkit“ a zkontrolovat, zda existuje. Místo toho musí uživatel použít Tiger a spustit úplnou kontrolu.
Pokaždé, když se program spustí, provede kontrolu mnoha různých typů bezpečnostních hrozeb v systému. Budete moci vidět vše, co skenuje. Některé z věcí, které Tiger skenuje, jsou:
Soubory hesel pro Linux.
soubory .rhost.
soubory .netrc.
konfigurační soubory ttytab, securetty a login.
Skupinové soubory.
Nastavení cesty Bash.
Kontroly rootkitů.
Položky při spuštění cronu.
Detekce „vloupání“.
konfigurační soubory SSH.
Procesy naslouchání.
FTP konfigurační soubory.
Chcete-li spustit bezpečnostní kontrolu Tiger na Linuxu, získejte root shell pomocí příkazu su nebo sudo -s.
su -
nebo
sudo -s
Pomocí oprávnění root spusťte příkaz tiger pro zahájení auditu zabezpečení.
tiger
Nechte příkaz tiger běžet a projděte procesem auditu. Vytiskne, co skenuje a jak komunikuje s vaším systémem Linux. Nechte proces auditu Tiger běžet; vytiskne umístění bezpečnostní zprávy v terminálu.
Zobrazit protokoly tygrů
Chcete-li zjistit, zda máte na svém systému Linux rootkit, musíte si prohlédnout zprávu o zabezpečení.
Chcete-li se podívat na jakoukoli zprávu o zabezpečení Tiger, otevřete terminál a pomocí příkazu CD přejděte do /var/log/tiger.
Poznámka: Linux nepustí uživatele bez root do /var/log. Musíte použít su.
su -
nebo
sudo -s
Poté přejděte do složky protokolu pomocí:
cd /var/log/tiger
V adresáři Tiger log spusťte příkaz ls. Pomocí tohoto příkazu se vytisknou všechny soubory v adresáři.
ls
Vezměte myš a zvýrazněte soubor bezpečnostní zprávy, který se zobrazí v terminálu. Poté jej zobrazte pomocí příkazu cat.
cat security.report.xxx.xxx-xx:xx
Podívejte se na zprávu a zjistěte, zda Tiger ve vašem systému detekoval rootkit.
Odstranění rootkitů na Linuxu
Odstranění rootkitů z linuxových systémů – i s těmi nejlepšími nástroji, je obtížné a ve 100% případů neúspěšné. I když je pravda, že existují programy, které mohou pomoci zbavit se těchto druhů problémů; ne vždy fungují.
Ať se vám to líbí nebo ne, pokud Tiger na vašem počítači se systémem Linux zjistil nebezpečného červa, je nejlepší zálohovat důležité soubory, vytvořit nové živé USB a úplně přeinstalovat operační systém.