Вече говорихме няколко пъти за руткитове, и за сигурността като цяло. Но този път ще се съсредоточим върху това как да ги открием и премахнем. На първо място, за тези, които не знаят какво е руткит, това е зловреден софтуер, който може да бъде съставен от програма или набор от злонамерени програми, които се маскират да изпълняват нежелани задачи и без съгласието на потребителя.
Е, в средите на Unix и разбира се в Linux можете да намерите множество антивирусни и други специфични инструменти за премахване на този тип зловреден софтуер, като например chkrootkit и rkhunter, които са най-известните. Те ще ви звучат познато, защото ние също говорихме за тях многократно в този блог, освен това и двамата действат по подобен начин и като не вършат работа във фонов режим, не си правят изводи, ако и двамата са инсталирани.
За инсталирането и използването му са необходими само няколко команди и в двата случая, нищо сложно. Например, в случай че искате да го инсталирате на Debian или производни, просто трябва да напишем следното:
sudo apt-get intsall chkrootkit sudo apt-get install rkhunter
За да го използвате (въпреки че можете да видите повече възможности у човека за прецизиране на анализите):
sudo chkrootkit sudo rkhunter --list tests
En случаят с rkhunterПреди първия анализ ще е необходимо да актуализирате основата за подпис с опцията –update. Има и други опции като –проверете, –деактивирайте и т.н., затова препоръчвам да проверите човек rkhunter за повече опции.
¡Оджо! Възможно е да има фалшиви положителни резултати, това означава, че той открива някои възможни руткитове, които не са такива, следователно, някои от заплахите, които те откриват, може да не са. Обикновено е добре да използвате и двете, тъй като те обикновено не дават едни и същи фалшиви положителни резултати и можете да изключите, че това е аларма за грешка, като сравните резултатите. Преди да премахнете руткита обаче, потърсете информация в Google, за да не изтриете важни файлове.