Cómo buscar rootkits en Linux con Tiger

por

¿Le preocupa que pueda tener un rootkit en su servidor Linux, computadora de escritorio o computadora portátil? Si desea verificar si hay rootkits presentes en su sistema y deshacerse de ellos, primero deberá escanear su sistema. Una de las mejores herramientas para buscar rootkits en Linux es Tiger. Cuando se ejecuta, realiza un informe de seguridad completo de su sistema Linux que describe dónde están los problemas (incluidos los rootkits).

En esta guía, repasaremos cómo instalar la herramienta de seguridad Tiger y buscar rootkits peligrosos.

Instalar Tiger

Tiger no viene con ninguna distribución de Linux lista para usar, por lo que antes de repasar cómo usar la herramienta de seguridad Tiger en Linux, necesitaremos repasar cómo instalarla. Necesitará Ubuntu, Debian o Arch Linux para instalar Tiger sin compilar el código fuente.

Ubuntu

Tiger ha estado durante mucho tiempo en las fuentes de software de Ubuntu. Para instalarlo, abra una ventana de terminal y ejecute el siguiente comando apt.

sudo apt install tiger

Debian

Debian tiene Tiger y se puede instalar con el comando Apt-get install.

sudo apt-get install tiger

Arch Linux

El software de seguridad Tiger está en Arch Linux a través de AUR. Siga los pasos a continuación para instalar el software en su sistema.

  Cómo conectarse a un servidor Linux desde iPad

Paso 1: Instale los paquetes necesarios para instalar los paquetes AUR manualmente. Estos paquetes son Git y Base-devel.

sudo pacman -S git base-devel

Paso 2: Clone la instantánea Tiger AUR en su Arch PC usando el comando git clone.

git clone https://aur.archlinux.org/tiger.git

Paso 3: Mueva la sesión de terminal de su directorio predeterminado (inicio) a la nueva carpeta Tiger que contiene el archivo pkgbuild.

cd tiger

Paso 4: Genere un instalador de Arch para Tiger. La construcción de un paquete se realiza con el comando makepkg, pero tenga cuidado: a veces la generación de paquetes no funciona debido a problemas de dependencia. Si esto le sucede, consulte la página oficial Tiger AUR para las dependencias. Asegúrese también de leer los comentarios, ya que otros usuarios pueden tener ideas.

makepkg -sri

Fedora y OpenSUSE

Lamentablemente, Fedora, OpenSUSE y otras distribuciones de Linux basadas en RPM / RedHat no tienen un paquete binario fácil de instalar para instalar Tiger. Para usarlo, considere convertir el paquete DEB con alien. O siga las instrucciones del código fuente a continuación.

Linux genérico

Para crear la aplicación Tiger a partir de la fuente, deberá clonar el código. Abra una terminal y haga lo siguiente:

git clone https://git.savannah.nongnu.org/git/tiger.git

Instale el programa ejecutando el script de shell incluido.

sudo ./install.sh

Alternativamente, si desea ejecutarlo (en lugar de instalarlo), haga lo siguiente:

sudo ./tiger

Buscar rootkits en Linux

Tiger es una aplicación automática. No tiene opciones o conmutadores únicos que los usuarios puedan usar en la línea de comandos. El usuario no puede simplemente «ejecutar el rootkit» para buscar uno. En su lugar, el usuario debe utilizar Tiger y ejecutar un análisis completo.

  Cómo obtener Microsoft Powershell en Linux

Cada vez que se ejecuta el programa, realiza un análisis de diferentes tipos de amenazas de seguridad en el sistema. Podrás ver todo lo que está escaneando. Algunas de las cosas que escanea Tiger son:

Archivos de contraseña de Linux.
Archivos .rhost.
Archivos .netrc.
ttytab, securetty y archivos de configuración de inicio de sesión.
Archivos de grupo.
Configuración de la ruta de acceso.
Comprobaciones de rootkit.
Entradas de inicio cron.
Detección de «robo».
Archivos de configuración SSH.
Procesos de escucha.
Archivos de configuración de FTP.

Para ejecutar un escaneo de seguridad de Tiger en Linux, obtenga un shell de root usando el comando su o sudo -s.

su -

o

sudo -s

Usando privilegios de root, ejecute el comando tiger para iniciar la auditoría de seguridad.

tiger

Deje que el comando tiger se ejecute y realice el proceso de auditoría. Imprimirá lo que está escaneando y cómo está interactuando con su sistema Linux. Deje que el proceso de auditoría de Tiger siga su curso; imprimirá la ubicación del informe de seguridad en la terminal.

Ver registros de tigre

Para determinar si tiene un rootkit en su sistema Linux, debe ver el informe de seguridad.

  Cómo transferir archivos a Linux desde Windows 10 a través de SSH

Para ver cualquier informe de seguridad de Tiger, abra una terminal y use el comando CD para moverse a / var / log / tiger.

Nota: Linux no permitirá que los usuarios no root accedan a / var / log. Debes usar su.

su -

o

sudo -s

Luego, acceda a la carpeta de registro con:

cd /var/log/tiger

En el directorio de registros de Tiger, ejecute el comando ls. El uso de este comando imprime todos los archivos del directorio.

ls

Tome su mouse y resalte el archivo de informe de seguridad que ls revela en la terminal. Luego, véalo con el comando cat.

cat security.report.xxx.xxx-xx:xx

Revise el informe y determine si Tiger ha detectado un rootkit en su sistema.

Eliminando rootkits en Linux

Eliminar Rootkits de los sistemas Linux, incluso con las mejores herramientas, es difícil y no tiene éxito el 100% de las veces. Si bien es cierto que existen programas que pueden ayudar a eliminar este tipo de problemas; no siempre funcionan.

Le guste o no, si Tiger ha determinado un gusano peligroso en su PC con Linux, es mejor hacer una copia de seguridad de sus archivos críticos, crear un nuevo USB en vivo y reinstalar el sistema operativo por completo.

Related posts:

  1. Cómo solucionar problemas de teclado y mouse Corsair en macOS y Linux
  2. Linux 5.0 «Shy Crocodile» llega con el cifrado Adiantum de Google
  3. Cómo realizar una tarea cuando se agrega un archivo nuevo a un directorio en Linux
  4. Cómo eliminar archivos y directorios en la terminal de Linux