Está preocupado com a possível presença de um rootkit no seu servidor, computador desktop ou portátil Linux? Se pretende verificar a existência de rootkits no seu sistema e eliminá-los, o primeiro passo é analisar o sistema. Uma das melhores ferramentas para este efeito é o Tiger. Ao ser executada, esta ferramenta gera um relatório de segurança detalhado do seu sistema Linux, identificando áreas problemáticas, incluindo a presença de rootkits.
Neste guia, iremos explicar como instalar a ferramenta de segurança Tiger e como utilizá-la para detetar rootkits perigosos.
Instalação do Tiger
O Tiger não está incluído por padrão em nenhuma distribuição Linux. Antes de explorarmos como usar esta ferramenta de segurança no Linux, é fundamental aprender a instalá-la. Para instalar o Tiger sem compilar o código-fonte, necessitará de usar o Ubuntu, Debian ou Arch Linux.
Ubuntu
O Tiger está disponível nos repositórios de software do Ubuntu há bastante tempo. Para proceder à sua instalação, abra uma janela de terminal e execute o seguinte comando apt:
sudo apt install tiger
Debian
O Debian também disponibiliza o Tiger, que pode ser instalado através do comando Apt-get install:
sudo apt-get install tiger
Arch Linux
No Arch Linux, o software de segurança Tiger pode ser encontrado no AUR. Siga os passos abaixo para instalar o software no seu sistema:
Passo 1: Instale os pacotes necessários para instalar pacotes AUR manualmente, nomeadamente Git e Base-devel.
sudo pacman -S git base-devel
Passo 2: Clone o snapshot do Tiger AUR para o seu computador Arch utilizando o comando git clone:
git clone https://aur.archlinux.org/tiger.git
Passo 3: Mova a sessão de terminal do seu diretório inicial para a nova pasta “tiger” que contém o ficheiro pkgbuild:
cd tiger
Passo 4: Gere um instalador Arch para o Tiger. A construção do pacote é feita com o comando makepkg. No entanto, esteja ciente de que por vezes a geração de pacotes pode falhar devido a problemas de dependências. Caso isto ocorra, verifique a página oficial do Tiger AUR para as dependências. Consulte também os comentários, onde poderá encontrar informações de outros utilizadores.
makepkg -sri
Fedora e OpenSUSE
Infelizmente, o Fedora, o OpenSUSE e outras distribuições Linux baseadas em RPM/RedHat não disponibilizam um pacote binário simples para instalar o Tiger. Para o utilizar nestes sistemas, considere converter o pacote DEB com a ferramenta Alien ou seguir as instruções para compilar o código-fonte, descritas abaixo.
Linux Genérico
Para compilar a aplicação Tiger a partir do código-fonte, precisará de clonar o código. Abra um terminal e execute o seguinte:
git clone https://git.savannah.nongnu.org/git/tiger.git
Instale o programa executando o script shell incluído.
sudo ./install.sh
Em alternativa, se desejar executar o programa em vez de o instalar, execute:
sudo ./tiger
Verificação de rootkits no Linux
O Tiger é uma aplicação automática e não oferece opções ou parâmetros específicos que os utilizadores possam usar na linha de comandos. Não existe um comando específico para “verificar rootkits”. Em vez disso, deve-se executar o Tiger para realizar uma verificação completa do sistema.
Cada vez que o programa é executado, ele efetua uma varredura para diversos tipos de ameaças de segurança presentes no sistema, apresentando os detalhes do processo. Algumas das áreas verificadas pelo Tiger incluem:
- Ficheiros de senhas do Linux.
- Ficheiros .rhost.
- Ficheiros .netrc.
- Ficheiros de configuração ttytab, securetty e login.
- Ficheiros de grupo.
- Configurações do caminho Bash.
- Verificações de rootkits.
- Entradas de inicialização Cron.
- Detecção de “invasão”.
- Ficheiros de configuração SSH.
- Processos em escuta.
- Ficheiros de configuração FTP.
Para realizar uma verificação de segurança com o Tiger no Linux, obtenha um shell de root usando o comando su ou sudo -s.
su -
ou
sudo -s
Com privilégios de root, execute o comando tiger para iniciar a auditoria de segurança.
tiger
Deixe que o comando tiger seja executado e complete o processo de auditoria. O programa irá mostrar o que está a verificar e como interage com o seu sistema Linux. O Tiger irá também indicar a localização do relatório de segurança no terminal.
Visualizar os registos do Tiger
Para determinar se existe um rootkit no seu sistema Linux, terá de consultar o relatório de segurança.
Para visualizar qualquer relatório de segurança do Tiger, abra um terminal e use o comando CD para aceder a /var/log/tiger.
Nota: O Linux não permite que utilizadores sem privilégios de root acedam a /var/log. Deve usar su.
su -
ou
sudo -s
Em seguida, aceda à pasta de registos com:
cd /var/log/tiger
No diretório de registo do Tiger, execute o comando ls, que exibirá todos os ficheiros existentes na pasta.
ls
Selecione e copie o nome do ficheiro de relatório de segurança que foi exibido no terminal e visualize-o usando o comando cat.
cat security.report.xxx.xxx-xx:xx
Analise o relatório para verificar se o Tiger detectou um rootkit no seu sistema.
Remover rootkits no Linux
A remoção de rootkits de sistemas Linux, mesmo com as melhores ferramentas, é uma tarefa difícil e nem sempre bem-sucedida. Embora existam programas que auxiliam na remoção destes problemas, nem sempre funcionam na perfeição.
Se o Tiger tiver detetado um worm perigoso no seu computador Linux, a melhor solução é fazer uma cópia de segurança dos ficheiros críticos, criar uma nova unidade USB ativa e reinstalar o sistema operativo por completo.