Забринути сте да можда имате рооткит на свом Линук серверу, десктопу или лаптопу? Ако желите да проверите да ли су рооткити присутни на вашем систему и да их се решите, прво морате да скенирате систем. Један од најбољих алата за скенирање руткита на Линук-у је Тигер. Када се покрене, ради комплетан безбедносни извештај вашег Линук система који описује где су проблеми (укључујући рутките).
У овом водичу ћемо говорити о томе како да инсталирамо Тигер безбедносни алат и скенирамо опасне рутките.
Преглед садржаја
Инсталирајте Тигер
Тигер не долази са ниједном Линук дистрибуцијом из кутије, тако да пре него што пређемо на то како да користимо Тигер безбедносни алат на Линуку, мораћемо да пређемо на то како да га инсталирамо. Требаће вам Убунту, Дебиан или Арцх Линук да бисте инсталирали Тигер без компајлирања изворног кода.
Убунту
Тигер је дуго био у изворима Убунту софтвера. Да бисте га инсталирали, отворите прозор терминала и покрените следећу апт команду.
sudo apt install tiger
Дебиан
Дебиан има Тигер и може се инсталирати помоћу команде Апт-гет инсталл.
sudo apt-get install tiger
Арцх Линук
Тигер сигурносни софтвер је на Арцх Линук-у преко АУР-а. Пратите доле наведене кораке да бисте инсталирали софтвер на свој систем.
Корак 1: Инсталирајте пакете потребне за ручно инсталирање АУР пакета. Ови пакети су Гит и Басе-девел.
sudo pacman -S git base-devel
Корак 2: Клонирајте Тигер АУР снимак на свој Арцх ПЦ помоћу команде гит цлоне.
git clone https://aur.archlinux.org/tiger.git
Корак 3: Преместите сесију терминала из њеног подразумеваног директоријума (домаћег) у нови фолдер тигер који садржи датотеку пкгбуилд.
cd tiger
Корак 4: Генеришите Арцх инсталатер за Тигер. Прављење пакета се обавља командом макепкг, али пазите: понекад генерисање пакета не ради због проблема са зависношћу. Ако вам се ово деси, проверите званична страница Тигер АУР за зависности. Обавезно прочитајте и коментаре, јер други корисници могу имати увид.
makepkg -sri
Федора и ОпенСУСЕ
Нажалост, и Федора, ОпенСУСЕ и друге Линук дистрибуције засноване на РПМ/РедХат-у немају бинарни пакет који се лако инсталира за инсталацију Тигера. Да бисте га користили, размислите о претварању ДЕБ пакета са ванземаљцем. Или пратите упутства за изворни код у наставку.
Генериц Линук
Да бисте направили апликацију Тигер из извора, мораћете да клонирате код. Отворите терминал и урадите следеће:
git clone https://git.savannah.nongnu.org/git/tiger.git
Инсталирајте програм тако што ћете покренути укључену схелл скрипту.
sudo ./install.sh
Алтернативно, ако желите да га покренете (уместо да га инсталирате), урадите следеће:
sudo ./tiger
Проверите рутките на Линук-у
Тигер је аутоматска апликација. Нема јединствене опције или прекидаче које корисници могу да користе у командној линији. Корисник не може само да „покрене рооткит“ опцију да би је проверио. Уместо тога, корисник мора да користи Тигер и да покрене потпуно скенирање.
Сваки пут када се програм покрене, он скенира много различитих врста безбедносних претњи на систему. Моћи ћете да видите све што скенира. Неке од ствари које Тигер скенира су:
Датотеке лозинки за Линук.
.рхост датотеке.
.нетрц датотеке.
ттитаб, сецуретти и конфигурационе датотеке за пријаву.
Групне датотеке.
Басх подешавања путање.
Руткит провере.
Црон стартуп уноси.
Откривање „провале“.
ССХ конфигурационе датотеке.
Процеси слушања.
ФТП конфигурационе датотеке.
Да бисте покренули Тигер безбедносно скенирање на Линук-у, набавите роот љуску помоћу команде су или судо -с.
su -
или
sudo -s
Користећи роот привилегије, извршите команду тигер да бисте покренули безбедносну ревизију.
tiger
Пустите команду тигра да се покрене и прође кроз процес ревизије. Одштампаће шта скенира и како је у интеракцији са вашим Линук системом. Пустите да Тигеров процес ревизије иде својим током; одштампаће локацију безбедносног извештаја у терминалу.
Погледајте Тигер Логс
Да бисте утврдили да ли имате рооткит на вашем Линук систему, морате погледати безбедносни извештај.
Да бисте погледали било који Тигер безбедносни извештај, отворите терминал и користите ЦД команду да бисте прешли у /вар/лог/тигер.
Напомена: Линук неће дозволити корисницима који нису роот у /вар/лог. Морате користити су.
su -
или
sudo -s
Затим приступите фасцикли дневника са:
cd /var/log/tiger
У директоријуму Тигер дневника покрените команду лс. Коришћењем ове команде штампају се све датотеке у директоријуму.
ls
Узмите миша и истакните датотеку безбедносног извештаја која се открива у терминалу. Затим га погледајте командом цат.
cat security.report.xxx.xxx-xx:xx
Прегледајте извештај и утврдите да ли је Тигер открио рооткит на вашем систему.
Уклањање руткита на Линук-у
Уклањање руткита из Линук система — чак и са најбољим алатима, тешко је и није успешно 100% времена. Иако је истина, постоје програми који могу помоћи да се отарасе оваквих проблема; не раде увек.
Свиђало вам се то или не, ако је Тигер утврдио опасног црва на вашем Линук рачунару, најбоље је да направите резервну копију критичних датотека, направите нови живи УСБ и потпуно поново инсталирате оперативни систем.