Sind Sie besorgt, dass Sie möglicherweise ein Rootkit auf Ihrem Linux-Server, Desktop oder Laptop haben? Wenn Sie überprüfen möchten, ob Rootkits auf Ihrem System vorhanden sind, und sie entfernen möchten, müssen Sie Ihr System zuerst scannen. Eines der besten Tools zum Scannen nach Rootkits unter Linux ist Tiger. Wenn es ausgeführt wird, erstellt es einen vollständigen Sicherheitsbericht Ihres Linux-Systems, der aufzeigt, wo die Probleme liegen (einschließlich Rootkits).
In dieser Anleitung gehen wir darauf ein, wie man das Tiger-Sicherheitstool installiert und nach gefährlichen Rootkits scannt.
Inhaltsverzeichnis
Tiger installieren
Tiger wird nicht mit Linux-Distributionen geliefert, daher müssen wir, bevor wir uns mit der Verwendung des Tiger-Sicherheitstools unter Linux befassen, die Installation besprechen. Sie benötigen Ubuntu, Debian oder Arch Linux, um Tiger zu installieren, ohne den Quellcode zu kompilieren.
Ubuntu
Tiger ist seit langem in den Ubuntu-Softwarequellen. Um es zu installieren, öffnen Sie ein Terminalfenster und führen Sie den folgenden apt-Befehl aus.
sudo apt install tiger
Debian
Debian hat Tiger und kann mit dem Befehl Apt-get install installiert werden.
sudo apt-get install tiger
Arch-Linux
Die Tiger-Sicherheitssoftware ist auf Arch Linux über die AUR verfügbar. Führen Sie die folgenden Schritte aus, um die Software auf Ihrem System zu installieren.
Schritt 1: Installieren Sie die erforderlichen Pakete, um AUR-Pakete manuell zu installieren. Diese Pakete sind Git und Base-devel.
sudo pacman -S git base-devel
Schritt 2: Klonen Sie den Tiger AUR-Snapshot mit dem Befehl git clone auf Ihren Arch-PC.
git clone https://aur.archlinux.org/tiger.git
Schritt 3: Verschieben Sie die Terminalsitzung von ihrem Standardverzeichnis (Home) in den neuen Tiger-Ordner, der die pkgbuild-Datei enthält.
cd tiger
Schritt 4: Generieren Sie ein Arch-Installationsprogramm für Tiger. Das Erstellen eines Pakets erfolgt mit dem Befehl makepkg, aber Vorsicht: Manchmal funktioniert die Paketgenerierung aufgrund von Abhängigkeitsproblemen nicht. Wenn dies bei Ihnen der Fall ist, überprüfen Sie die offizielle Tiger AUR-Seite für die Abhängigkeiten. Lesen Sie auch die Kommentare, da andere Benutzer möglicherweise Einblicke haben.
makepkg -sri
Fedora und OpenSUSE
Leider haben sowohl Fedora, OpenSUSE als auch andere RPM/RedHat-basierte Linux-Distributionen kein einfach zu installierendes Binärpaket, mit dem Tiger installiert werden kann. Um es zu verwenden, sollten Sie das DEB-Paket mit alien konvertieren. Oder befolgen Sie die folgenden Quellcode-Anweisungen.
Generisches Linux
Um die Tiger-App aus dem Quellcode zu erstellen, müssen Sie den Code klonen. Öffnen Sie ein Terminal und gehen Sie wie folgt vor:
git clone https://git.savannah.nongnu.org/git/tiger.git
Installieren Sie das Programm, indem Sie das enthaltene Shell-Skript ausführen.
sudo ./install.sh
Alternativ, wenn Sie es ausführen möchten (anstatt es zu installieren), gehen Sie wie folgt vor:
sudo ./tiger
Suchen Sie unter Linux nach Rootkits
Tiger ist eine automatische Anwendung. Es hat keine eindeutigen Optionen oder Schalter, die Benutzer in der Befehlszeile verwenden können. Der Benutzer kann nicht einfach die Option „Rootkit ausführen“, um nach einem zu suchen. Stattdessen muss der Benutzer Tiger verwenden und einen vollständigen Scan durchführen.
Jedes Mal, wenn das Programm ausgeführt wird, führt es einen Scan nach vielen verschiedenen Arten von Sicherheitsbedrohungen auf dem System durch. Sie können alles sehen, was es scannt. Einige der Dinge, die Tiger scannt, sind:
Linux-Kennwortdateien.
.rhost-Dateien.
.netrc-Dateien.
ttytab-, securetty- und Login-Konfigurationsdateien.
Dateien gruppieren.
Bash-Pfadeinstellungen.
Rootkit-Prüfungen.
Cron-Starteinträge.
„Einbruch“-Erkennung.
SSH-Konfigurationsdateien.
Hörprozesse.
FTP-Konfigurationsdateien.
Um einen Tiger-Sicherheitsscan unter Linux auszuführen, erhalten Sie mit dem Befehl su oder sudo -s eine Root-Shell.
su -
oder
sudo -s
Führen Sie mit Root-Rechten den Tiger-Befehl aus, um die Sicherheitsüberprüfung zu starten.
tiger
Lassen Sie den Tiger-Befehl laufen und durchlaufen Sie den Audit-Prozess. Es druckt aus, was es scannt und wie es mit Ihrem Linux-System interagiert. Lassen Sie den Tiger-Auditprozess seinen Lauf nehmen; Es druckt den Speicherort des Sicherheitsberichts im Terminal aus.
Tiger-Protokolle anzeigen
Um festzustellen, ob auf Ihrem Linux-System ein Rootkit vorhanden ist, müssen Sie den Sicherheitsbericht anzeigen.
Um einen beliebigen Tiger-Sicherheitsbericht anzuzeigen, öffnen Sie ein Terminal und verwenden Sie den CD-Befehl, um in /var/log/tiger zu wechseln.
Hinweis: Linux lässt Nicht-Root-Benutzer nicht in /var/log. Sie müssen su verwenden.
su -
oder
sudo -s
Greifen Sie dann auf den Protokollordner zu mit:
cd /var/log/tiger
Führen Sie im Tiger-Protokollverzeichnis den Befehl ls aus. Mit diesem Befehl werden alle Dateien im Verzeichnis gedruckt.
ls
Nehmen Sie Ihre Maus und markieren Sie die Sicherheitsberichtsdatei, die im Terminal angezeigt wird. Zeigen Sie es dann mit dem cat-Befehl an.
cat security.report.xxx.xxx-xx:xx
Sehen Sie sich den Bericht an und stellen Sie fest, ob Tiger ein Rootkit auf Ihrem System entdeckt hat.
Rootkits unter Linux entfernen
Das Entfernen von Rootkits von Linux-Systemen – selbst mit den besten Tools – ist schwierig und nicht zu 100 % erfolgreich. Es stimmt zwar, dass es da draußen Programme gibt, die helfen können, diese Art von Problemen loszuwerden; sie funktionieren nicht immer.
Ob es Ihnen gefällt oder nicht, wenn Tiger einen gefährlichen Wurm auf Ihrem Linux-PC entdeckt hat, ist es am besten, Ihre kritischen Dateien zu sichern, einen neuen Live-USB zu erstellen und das Betriebssystem komplett neu zu installieren.