Nous avons déjà parlé à plusieurs reprises de rootkitset sur la sécurité en général. Mais cette fois, nous allons nous concentrer sur la façon de les détecter et de les éliminer. Tout d'abord, pour ceux qui ne savent pas ce qu'est un rootkit, il s'agit d'un malware qui peut être composé d'un programme ou d'un ensemble de programmes malveillants qui se déguisent pour effectuer des tâches indésirables et sans le consentement de l'utilisateur.
Eh bien, dans les environnements Unix et bien sûr sous Linux, vous pouvez trouver une multitude d'antivirus et d'autres outils spécifiques pour éliminer ce type de malware, tels que chkrootkit et rkhunter, qui sont les plus connus. Ils vous sembleront familiers car nous en avons également parlé à de nombreuses reprises dans ce blog, en plus ils agissent tous les deux de la même manière et en ne faisant pas de travail en arrière-plan, ils ne se déduisent pas s'ils sont tous les deux installés.
Pour son installation et son utilisation, seules quelques commandes sont nécessaires dans les deux cas, rien de compliqué. Par exemple, dans le cas où vous souhaitez l'installer sur un Debian ou des dérivés, il suffit de taper ce qui suit:
sudo apt-get intsall chkrootkit sudo apt-get install rkhunter
Pour l'utiliser (bien que vous puissiez voir plus d'options chez l'homme pour affiner les analyses):
sudo chkrootkit sudo rkhunter --list tests
En le cas de rkhunterAvant la première analyse, il sera nécessaire de mettre à jour la base de signature avec l'option –update. Il existe également d'autres options telles que –check, –disable , etc., je vous recommande donc de vérifier homme rkhunter pour plus d'options.
Eye! Il peut y avoir de faux positifs, c'est-à-dire qu'il détecte certains rootkits possibles qui ne le sont pas, par conséquent, certaines des menaces qu'ils détectent peuvent ne pas l'être. Normalement, il est bon d'utiliser les deux, car ils ne donnent généralement pas les mêmes faux positifs et vous pouvez exclure qu'il s'agit d'une alarme de défaut en comparant les résultats. Cependant, avant de supprimer le rootkit, recherchez des informations sur Google afin de ne pas supprimer les fichiers importants.