Ja hem parlat en diverses ocasions sobre rootkits, I sobre seguretat en general. Però aquesta vegada ens centrarem en com detectar-los i eliminar-los. El primer, per als que no sàpiguen què és un rootkit, es tracta d'un malware que pot compondre d'un programa o conjunt de programes maliciosos que es camuflen per dur a terme tasques no desitjades i sense consentiment de l'usuari.
Doncs bé, en els entorns Unix i per descomptat en Linux, es poden trobar multitud d'antivirus i altres eines específiques per eliminar aquest tipus de malware, com chkrootkit i rkhunter, Que són de les més famoses. Et sonaran perquè d'elles també hem parlat en nombroses ocasions en aquest blog, a més totes dues actuen de forma similar i al no realitzar treball en segon pla, no inferfieren entre si en cas de tenir-los els dos instal·lats.
Per a la seva instal·lació i ús, només es necessiten un parell de comandaments en ambdós casos, res complicat. Per exemple, en el cas de voler-instal·lar en un Debian o derivats, només hem de teclejar el següent:
sudo apt-get intsall chkrootkit sudo apt-get install rkhunter
per usar-lo (Encara que pots veure més opcions en man per afinar les anàlisis):
sudo chkrootkit sudo rkhunter --list tests
En el cas de rkhunter, Abans de la primera anàlisi caldrà actualitzar la base de signatures amb l'opció -update. També hi ha altres opcions com -check, -disable , Etc., de manera que et recomano que revisos man rkhunter per veure més opcions.
Ull! Hi pot haver falsos positius, és a dir, que detecti alguns possibles rootkits que no ho siguin, per tant, algunes de les amenaces que detecten pot ser que no ho siguin. Normalment és bo fer-les servir totes dues, perquè no solen donar els mateixos falsos positius i pots descartar que es tracti d'una falta alarma contrastant els resultats. No obstant això, abans d'eliminar el rootkit, busca informació a Google per no esborrar fitxers importants.