Sind Sie besorgt, dass sich möglicherweise ein Rootkit auf Ihrem Linux-System eingenistet hat? Ob Server, Desktop oder Laptop – wenn Sie die Anwesenheit von Rootkits überprüfen und diese gegebenenfalls beseitigen möchten, ist ein Systemscan unerlässlich. Ein besonders leistungsfähiges Werkzeug für diese Aufgabe ist Tiger. Es generiert einen umfassenden Sicherheitsbericht Ihres Systems und deckt Schwachstellen sowie mögliche Rootkits auf.
In dieser Anleitung zeigen wir Ihnen, wie Sie das Sicherheits-Tool Tiger installieren und für die Suche nach schädlichen Rootkits einsetzen können.
Installation von Tiger
Tiger ist in den Standard-Softwarequellen vieler Linux-Distributionen nicht enthalten. Daher ist die Installation vor der Verwendung erforderlich. Für die Installation ohne Quellcode-Kompilierung benötigen Sie entweder Ubuntu, Debian oder Arch Linux.
Ubuntu
Tiger ist in den Ubuntu-Repositories verfügbar. Die Installation erfolgt über das Terminal mit folgendem Befehl:
sudo apt install tiger
Debian
Auch unter Debian lässt sich Tiger mit dem Befehl `apt-get install` installieren:
sudo apt-get install tiger
Arch Linux
Für Arch Linux ist Tiger über das AUR (Arch User Repository) erhältlich. Die Installation erfolgt in mehreren Schritten:
Schritt 1: Installieren Sie `git` und `base-devel`, um AUR-Pakete manuell installieren zu können.
sudo pacman -S git base-devel
Schritt 2: Klonen Sie den Tiger AUR-Snapshot mit `git clone`.
git clone https://aur.archlinux.org/tiger.git
Schritt 3: Wechseln Sie im Terminal in den neu erstellten `tiger`-Ordner, der die `pkgbuild`-Datei enthält.
cd tiger
Schritt 4: Erstellen Sie ein Arch-Installationspaket für Tiger. Der Befehl `makepkg -sri` dient dazu. Beachten Sie jedoch, dass die Paketerstellung aufgrund von Abhängigkeiten fehlschlagen kann. In diesem Fall sollten Sie die offizielle Tiger AUR-Seite konsultieren und die Kommentare anderer Benutzer lesen, da diese möglicherweise nützliche Hinweise enthalten.
makepkg -sri
Fedora und OpenSUSE
Für Fedora, OpenSUSE und andere RPM/RedHat-basierte Distributionen gibt es keine vorkompilierten Binärpakete für eine einfache Tiger-Installation. Hier empfiehlt sich die Konvertierung des DEB-Pakets mit `alien` oder die Kompilierung aus dem Quellcode.
Generische Linux-Distributionen
Zur Erstellung aus dem Quellcode muss dieser zunächst geklont werden. Öffnen Sie das Terminal und führen Sie die folgenden Schritte aus:
git clone https://git.savannah.nongnu.org/git/tiger.git
Installieren Sie das Programm durch Ausführen des mitgelieferten Shell-Skripts.
sudo ./install.sh
Alternativ, um es direkt auszuführen (ohne Installation):
sudo ./tiger
Rootkit-Suche unter Linux
Tiger arbeitet automatisiert und erfordert keine spezifischen Befehlszeilenoptionen zur Rootkit-Suche. Stattdessen analysiert Tiger Ihr System umfassend bei jeder Ausführung.
Das Programm untersucht eine Vielzahl von Sicherheitsbedrohungen. Dazu gehören:
Linux-Passwortdateien,
.rhost-Dateien,
.netrc-Dateien,
ttytab-, securetty- und Login-Konfigurationsdateien,
Gruppendateien,
Bash-Pfadeinstellungen,
Rootkit-Prüfungen,
Cron-Starteinträge,
„Einbruch“-Erkennung,
SSH-Konfigurationsdateien,
Aktive Prozesse,
FTP-Konfigurationsdateien.
Um einen Tiger-Sicherheits-Scan zu starten, benötigen Sie Root-Rechte. Diese erhalten Sie mit `su -` oder `sudo -s`:
su -
oder
sudo -s
Starten Sie den Scan mit dem Befehl `tiger`:
tiger
Lassen Sie Tiger den Überprüfungsprozess durchlaufen. Das Programm zeigt an, welche Dateien und Bereiche untersucht werden und protokolliert den Pfad zum Sicherheitsbericht im Terminal.
Tiger-Protokolle auswerten
Um festzustellen, ob ein Rootkit gefunden wurde, müssen Sie den generierten Sicherheitsbericht einsehen.
Der Bericht befindet sich im Verzeichnis `/var/log/tiger`. Nicht-Root-Benutzer haben keinen direkten Zugriff auf dieses Verzeichnis, daher müssen Sie sich erneut als Root anmelden:
su -
oder
sudo -s
Wechseln Sie dann zum Protokollordner:
cd /var/log/tiger
Lassen Sie sich mit `ls` die Dateien im Verzeichnis anzeigen:
ls
Markieren Sie die Sicherheitsberichtdatei im Terminal und zeigen Sie diese anschließend mit `cat` an:
cat security.report.xxx.xxx-xx:xx
Analysieren Sie den Bericht und prüfen Sie, ob Tiger ein Rootkit auf Ihrem System entdeckt hat.
Rootkits unter Linux entfernen
Die Entfernung von Rootkits ist selbst mit den besten Werkzeugen eine Herausforderung und kann nicht immer vollständig gelingen. Es gibt zwar spezielle Programme, die helfen können, diese Art von Problemen zu beheben, aber deren Wirksamkeit ist nicht immer garantiert.
Wenn Tiger eine gefährliche Bedrohung auf Ihrem Linux-System entdeckt, ist es ratsam, Ihre wichtigen Daten zu sichern, ein neues Live-USB-Medium zu erstellen und das Betriebssystem komplett neu zu installieren. Dies ist oft die sicherste Methode, um Rootkits zuverlässig zu entfernen.