Comment trouver des rootkits sous Linux avec Tiger
Craignez-vous d’avoir un rootkit sur votre serveur Linux, votre ordinateur de bureau ou votre ordinateur portable? Si vous souhaitez vérifier les rootkits présents sur votre système et vous en débarrasser, vous devrez d’abord analyser votre système. L’un des meilleurs outils pour rechercher des rootkits sur Linux est Tiger. Lorsqu’il est exécuté, il fait un rapport de sécurité complet de votre système Linux indiquant où se trouvent les problèmes (y compris les rootkits).
Dans ce guide, nous verrons comment installer l’outil de sécurité Tiger et rechercher les rootkits dangereux.
Installez Tiger
Tiger ne vient pas avec une distribution Linux prête à l’emploi, donc avant de passer en revue comment utiliser l’outil de sécurité Tiger sur Linux, nous devrons vous expliquer comment l’installer. Vous aurez besoin d’Ubuntu, Debian ou Arch Linux pour installer Tiger sans compiler le code source.
Ubuntu
Tiger est depuis longtemps dans les sources du logiciel Ubuntu. Pour l’installer, ouvrez une fenêtre de terminal et exécutez la commande apt suivante .
sudo apt installer tiger
Debian
Debian a Tiger et il peut être installé avec la commande Apt-get install.
sudo apt-get installer tiger
Arch Linux
Le logiciel de sécurité Tiger est sur Arch Linux via AUR. Suivez les étapes ci-dessous pour installer le logiciel sur votre système.
Étape 1: Installez les packages requis pour installer les packages AUR manuellement. Ces packages sont Git et Base-devel.
sudo pacman -S git base-devel
Étape 2: Clonez l’instantané Tiger AUR sur votre Arch PC à l’aide de la commande git clone .
git clone https://aur.archlinux.org/tiger.git
Étape 3: Déplacez la session de terminal de son répertoire par défaut (home) vers le nouveau dossier Tiger qui contient le fichier pkgbuild.
cd tigre
Étape 4: Créez un programme d’installation d’Arch pour Tiger. La construction d’un paquet se fait avec la commande makepkg , mais attention: parfois, la construction d’un paquet ne fonctionne pas en raison de problèmes de dépendance. Si cela vous arrive, consultez la page officielle Tiger AUR pour les dépendances. Assurez-vous de lire également les commentaires, car d’autres utilisateurs peuvent avoir des idées.
makepkg -sri
Fedora et OpenSUSE
Malheureusement, Fedora, OpenSUSE et d’autres distributions Linux basées sur RPM / RedHat n’ont pas de paquet binaire facile à installer pour installer Tiger. Pour l’utiliser, envisagez de convertir le package DEB avec alien . Ou suivez les instructions du code source ci-dessous.
Linux générique
Pour créer l’application Tiger à partir des sources, vous devrez cloner le code. Ouvrez un terminal et procédez comme suit:
git clone https://git.savannah.nongnu.org/git/tiger.git
Installez le programme en exécutant le script shell inclus.
sudo ./install.sh
Sinon, si vous souhaitez l’exécuter (au lieu de l’installer), procédez comme suit:
sudo ./tiger
Trouver des rootkits sur Linux
Tiger est une application automatique. Il n’a pas d’options ou de commutateurs uniques que les utilisateurs peuvent utiliser sur la ligne de commande. L’utilisateur ne peut pas simplement «exécuter le rootkit» pour en trouver un. Au lieu de cela, l’utilisateur doit utiliser Tiger et exécuter une analyse complète.
Chaque fois que le programme est exécuté, il effectue une analyse des différents types de menaces de sécurité sur le système. Vous pourrez voir tout ce qu’il scanne. Certaines des choses que Tiger scanne sont:
- Fichiers de mots de passe Linux.
- Fichiers .Rhost.
- Fichiers .Netrc.
- ttytab, securetty et les fichiers de configuration de connexion.
- Fichiers de groupe.
- Configuration du chemin.
- Vérifications de rootkit.
- Cron start entrées.
- Détection de «vol».
- Fichiers de configuration SSH.
- Processus d’écoute.
- Fichiers de configuration FTP.
Pour exécuter une analyse de sécurité Tiger sur Linux, obtenir un shell root en utilisant la su ou sudo la commande .
le sien -
ou
sudo -s
À l’aide des privilèges root, exécutez la commande tiger pour démarrer l’audit de sécurité.
>> Tigre
Laisser la commande tiger s’exécuter et suivre le processus d’audit. Il imprimera ce que vous numérisez et comment il interagit avec votre système Linux. Laissez le processus d’audit de Tiger suivre son cours; imprimera l’emplacement du rapport de sécurité sur le terminal.
Afficher les journaux de tigre
Pour déterminer si vous disposez d’un rootkit sur votre système Linux, vous devez afficher le rapport de sécurité.
Pour afficher les rapports de sécurité de Tiger, ouvrez un terminal et utilisez la commande CD pour accéder à / var / log / tiger .
Remarque: Linux ne permettra pas aux utilisateurs non root d’accéder à / var / log. Vous devez utiliser su .
le sien -
ou
sudo -s
Accédez ensuite au dossier du journal avec:
cd / var / log / tigre
Dans le répertoire Tiger logs, exécutez la commande ls . L’utilisation de cette commande imprime tous les fichiers du répertoire.
ls
Prenez votre souris et mettez en surbrillance le fichier de rapport de sécurité que ls révèle dans le terminal. Ensuite, affichez-le avec la commande cat .
>> chat security.report.xxx.xxx-xx: xx
Consultez le rapport et déterminez si Tiger a détecté un rootkit sur votre système.
Suppression des rootkits sous Linux
Supprimer les rootkits des systèmes Linux, même avec les meilleurs outils, est difficile et ne réussit pas 100% du temps. S’il est vrai qu’il existe des programmes qui peuvent aider à éliminer ces types de problèmes; ils ne fonctionnent pas toujours.
Qu’on le veuille ou non, si Tiger a identifié un ver dangereux sur votre PC Linux, il est préférable de sauvegarder vos fichiers critiques, de créer une nouvelle clé USB en direct et de réinstaller complètement le système d’exploitation.