Como verificar rootkits no Linux com Tiger

Preocupado que você possa ter um rootkit em seu servidor Linux, desktop ou laptop? Se você quiser verificar se os rootkits estão ou não presentes em seu sistema e se livrar deles, você precisará verificar seu sistema primeiro. Uma das melhores ferramentas para verificar rootkits no Linux é o Tiger. Quando executado, ele faz um relatório de segurança completo do seu sistema Linux que descreve onde estão os problemas (incluindo rootkits).

Neste guia, veremos como instalar a ferramenta de segurança Tiger e verificar rootkits perigosos.

Instalar Tigre

O Tiger não vem com nenhuma distribuição Linux pronta para uso, então antes de falar sobre como usar a ferramenta de segurança Tiger no Linux, precisaremos ver como instalá-la. Você precisará do Ubuntu, Debian ou Arch Linux para instalar o Tiger sem compilar o código-fonte.

Ubuntu

Tiger está há muito tempo nas fontes de software do Ubuntu. Para instalá-lo, abra uma janela de terminal e execute o seguinte comando apt.

sudo apt install tiger

Debian

O Debian tem o Tiger e é instalável com o comando Apt-get install.

sudo apt-get install tiger

Arch Linux

O software de segurança Tiger está no Arch Linux através do AUR. Siga as etapas abaixo para instalar o software em seu sistema.

  Como configurar um servidor DLNA no Linux

Etapa 1: Instale os pacotes necessários para instalar os pacotes AUR manualmente. Esses pacotes são Git e Base-devel.

sudo pacman -S git base-devel

Passo 2: Clone o snapshot do Tiger AUR para o seu Arch PC usando o comando git clone.

git clone https://aur.archlinux.org/tiger.git

Etapa 3: Mova a sessão do terminal de seu diretório padrão (home) para a nova pasta tigre que contém o arquivo pkgbuild.

cd tiger

Etapa 4: gere um instalador do Arch para o Tiger. A construção de um pacote é feita com o comando makepkg, mas cuidado: às vezes a geração de pacotes não funciona devido a problemas de dependência. Se isso acontecer com você, verifique o página oficial do Tiger AUR para as dependências. Certifique-se também de ler os comentários, pois outros usuários podem ter insights.

makepkg -sri

Fedora e OpenSUSE

Infelizmente, tanto Fedora, OpenSUSE e outras distribuições Linux baseadas em RPM/RedHat não possuem um pacote binário fácil de instalar para instalar o Tiger. Para usá-lo, considere converter o pacote DEB com alien. Ou siga as instruções do código-fonte abaixo.

Linux genérico

Para compilar o aplicativo Tiger a partir do código-fonte, você precisará clonar o código. Abra um terminal e faça o seguinte:

git clone https://git.savannah.nongnu.org/git/tiger.git

Instale o programa executando o script de shell incluído.

sudo ./install.sh

Como alternativa, se você quiser executá-lo (em vez de instalá-lo), faça o seguinte:

sudo ./tiger

Verifique se há rootkits no Linux

Tiger é uma aplicação automática. Ele não possui opções ou opções exclusivas que os usuários possam usar na linha de comando. O usuário não pode simplesmente “executar o rootkit” para verificar se há um. Em vez disso, o usuário deve usar o Tiger e executar uma verificação completa.

  Como fazer backup das configurações da área de trabalho do KDE Plasma 5 no Linux

Cada vez que o programa é executado, ele faz uma varredura de vários tipos diferentes de ameaças de segurança no sistema. Você poderá ver tudo o que está digitalizando. Algumas das coisas que o Tiger digitaliza são:

Arquivos de senha do Linux.
arquivos .rhost.
arquivos .netrc.
ttytab, securetty e arquivos de configuração de login.
Arquivos de grupo.
Configurações do caminho Bash.
Verificações de rootkits.
Cron entradas de inicialização.
Detecção de “invasão”.
Arquivos de configuração SSH.
Processos de escuta.
Arquivos de configuração de FTP.

Para executar uma verificação de segurança do Tiger no Linux, obtenha um shell de root usando o comando su ou sudo -s.

su -

ou

sudo -s

Usando privilégios de root, execute o comando tigre para iniciar a auditoria de segurança.

tiger

Deixe o comando tigre ser executado e passe pelo processo de auditoria. Ele imprimirá o que está digitalizando e como está interagindo com seu sistema Linux. Deixe o processo de auditoria do Tiger seguir seu curso; ele imprimirá a localização do relatório de segurança no terminal.

  Como copiar e colar texto no Bash Shell do Linux

Ver Registros do Tigre

Para determinar se você tem um rootkit em seu sistema Linux, você deve visualizar o relatório de segurança.

Para ver qualquer relatório de segurança do Tiger, abra um terminal e use o comando CD para ir para /var/log/tiger.

Nota: o Linux não permitirá que usuários não root acessem /var/log. Você deve usar su.

su -

ou

sudo -s

Em seguida, acesse a pasta de log com:

cd /var/log/tiger

No diretório de log do Tiger, execute o comando ls. Usar este comando imprime todos os arquivos no diretório.

ls

Pegue o mouse e destaque o arquivo de relatório de segurança que ls revela no terminal. Em seguida, visualize-o com o comando cat.

cat security.report.xxx.xxx-xx:xx

Examine o relatório e determine se o Tiger detectou um rootkit em seu sistema.

Removendo rootkits no Linux

A remoção de rootkits de sistemas Linux — mesmo com as melhores ferramentas, é difícil e não é bem-sucedida 100% das vezes. Embora seja verdade, existem programas por aí que podem ajudar a se livrar desses tipos de problemas; nem sempre funcionam.

Goste ou não, se o Tiger determinou um worm perigoso em seu PC Linux, é melhor fazer backup de seus arquivos críticos, criar um novo USB ativo e reinstalar o sistema operacional completamente.