Bạn lo lắng rằng bạn có thể có rootkit trên máy chủ Linux, máy tính để bàn hoặc máy tính xách tay của mình? Nếu bạn muốn kiểm tra xem rootkit có tồn tại trên hệ thống của mình hay không và loại bỏ chúng, trước tiên bạn cần quét hệ thống của mình. Một trong những công cụ quét rootkit tốt nhất cho Linux là Tiger. Khi chạy, nó tạo ra một báo cáo bảo mật Linux đầy đủ xác định nơi xảy ra sự cố (bao gồm cả rootkit).
Trong hướng dẫn này, chúng tôi sẽ thảo luận cách cài đặt công cụ bảo mật Tiger và quét các rootkit nguy hiểm.
Cài đặt hổ
Tiger không đi kèm với bất kỳ bản phân phối Linux nào, vì vậy trước khi bắt đầu sử dụng công cụ bảo mật Tiger trên Linux, chúng ta sẽ cần tìm hiểu cách cài đặt nó. Bạn sẽ cần Ubuntu, Debian hoặc Arch Linux để cài đặt Tiger mà không cần biên dịch mã nguồn.
Ubuntu
Tiger từ lâu đã có trong các nguồn phần mềm Ubuntu. Để cài đặt nó, hãy mở một cửa sổ đầu cuối và chạy lệnh apt sau.
sudo apt install tiger
Debian
Debian có Tiger và có thể được cài đặt bằng lệnh cài đặt Apt-get.
sudo apt-get install tiger
Vòm Linux
Phần mềm bảo mật Tiger chạy trên Arch Linux thông qua AUR. Thực hiện theo các bước dưới đây để cài đặt phần mềm trên hệ thống của bạn.
Bươc 1: Cài đặt các gói cần thiết để cài đặt gói AUR thủ công. Các gói này là Git và Base-devel.
sudo pacman -S git base-devel
Bươc 2: Sao chép ảnh chụp nhanh Tiger AUR vào máy Arch của bạn bằng lệnh git clone.
git clone https://aur.archlinux.org/tiger.git
Bươc 3: Di chuyển phiên cuối từ thư mục (nhà) mặc định của nó sang thư mục hổ mới chứa tệp pkgbuild.
cd tiger
Bươc 4: Tạo trình cài đặt Arch cho Tiger. Việc tạo gói được thực hiện bằng cách sử dụng lệnh makepkg, nhưng hãy cẩn thận: đôi khi việc tạo gói không thành công do các vấn đề phụ thuộc. Nếu điều đó xảy ra, hãy kiểm tra trang Tiger AUR chính thức để biết các yếu tố phụ thuộc. Đồng thời đọc các nhận xét vì những người dùng khác có thể có thông tin chi tiết.
makepkg -sri
Fedora và OpenSUSE
Thật không may, cả Fedora, OpenSUSE và các bản phân phối Linux dựa trên RPM/RedHat khác đều không có gói nhị phân dễ cài đặt để cài đặt Tiger. Để sử dụng nó, hãy cân nhắc chuyển đổi gói DEB của bạn thành gói ngoài hành tinh. Hoặc làm theo hướng dẫn mã nguồn bên dưới.
Linux chung
Để xây dựng ứng dụng Tiger từ nguồn, bạn cần sao chép mã. Mở một thiết bị đầu cuối và làm như sau:
git clone https://git.savannah.nongnu.org/git/tiger.git
Cài đặt chương trình bằng cách chạy tập lệnh shell đi kèm.
sudo ./install.sh
Ngoài ra, nếu bạn muốn chạy nó (thay vì cài đặt nó), hãy làm như sau:
sudo ./tiger
Kiểm tra rootkit trên Linux
Tiger là một ứng dụng tự động. Không có tùy chọn hoặc công tắc duy nhất nào mà người dùng có thể sử dụng trên dòng lệnh. Người dùng không thể chỉ đơn giản là “chạy rootkit” để kiểm tra nó. Thay vào đó, người dùng phải sử dụng Tiger và quét toàn bộ.
Mỗi khi chương trình được khởi chạy, nó sẽ quét nhiều loại mối đe dọa bảo mật khác nhau trên hệ thống. Bạn sẽ có thể xem mọi thứ nó quét. Một số thứ mà Tiger quét là:
Tệp mật khẩu Linux.
tập tin .rhost.
tập tin .netrc.
ttytab, securetty và các tệp cấu hình đăng nhập.
tập tin nhóm.
Cài đặt theo dõi âm trầm.
kiểm tra rootkit.
Các mục khởi động Cron.
Phát hiện xâm nhập.
Các tệp cấu hình SSH.
Các quá trình lắng nghe.
Tập tin cấu hình FTP.
Để chạy quét bảo mật Tiger trên Linux, hãy lấy trình bao gốc bằng lệnh su hoặc sudo -s.
su -
hoặc
sudo -s
Sử dụng quyền root, thực hiện lệnh tiger để bắt đầu kiểm tra bảo mật.
tiger
Chạy lệnh hổ và trải qua quá trình kiểm toán. Nó sẽ in những gì nó quét và cách nó tương tác với Linux. Hãy để quá trình kiểm toán Tiger tiếp tục; sẽ in vị trí của báo cáo bảo mật trong thiết bị đầu cuối.
Xem nhật ký hổ
Để xác định xem bạn có rootkit trên hệ thống Linux của mình hay không, bạn cần xem lại báo cáo bảo mật.
Để xem lại báo cáo bảo mật của Tiger, hãy mở một thiết bị đầu cuối và sử dụng lệnh CD để điều hướng đến /var/log/tiger.
Lưu ý: Linux sẽ không cho phép người dùng không root có thể /var/log. Bạn phải sử dụng su.
su -
hoặc
sudo -s
Sau đó điều hướng đến thư mục nhật ký với:
cd /var/log/tiger
Trong thư mục Tiger log, chạy lệnh ls. Sử dụng lệnh này liệt kê tất cả các tệp trong thư mục.
ls
Hãy di chuột và tô sáng tệp báo cáo bảo mật tự hiển thị trong thiết bị đầu cuối. Sau đó hiển thị nó bằng lệnh cat.
cat security.report.xxx.xxx-xx:xx
Xem lại báo cáo và xem liệu Tiger có phát hiện ra rootkit trên hệ thống của bạn hay không.
Loại bỏ rootkit trên Linux
Loại bỏ rootkit khỏi hệ thống Linux – ngay cả với những công cụ tốt nhất, việc này rất khó và luôn thất bại 100%. Mặc dù đúng là có những chương trình có thể giúp bạn thoát khỏi những loại vấn đề này; không phải lúc nào chúng cũng hoạt động.
Dù muốn hay không, nếu Tiger đã phát hiện ra một loại sâu nguy hiểm trên PC Linux của bạn, thì tốt nhất bạn nên sao lưu các tệp quan trọng, tạo một USB hoạt động mới và cài đặt lại hoàn toàn hệ điều hành.
