Többször beszéltünk már arról rootkitek, és általában a biztonságról. De ezúttal arra fogunk koncentrálni, hogy miként lehet őket felismerni és megszüntetni. Először is, azok számára, akik nem tudják, mi a rootkit, ez egy rosszindulatú program, amely állhat programból vagy rosszindulatú programokból, amelyek álcázzák magukat nem kívánt feladatok végrehajtására és a felhasználó beleegyezése nélkül.
Nos, a Unix környezetekben és természetesen a Linuxban számos víruskereső és más speciális eszköz található az ilyen típusú kártevők kiküszöbölésére, mint pl. chkrootkit és rkhunter, amelyek a leghíresebbek. Azok ismerősen fognak hangzani Önnek, mert számos alkalommal beszéltünk róluk ebben a blogban, ráadásul mindkettő hasonló módon jár el, és azzal, hogy nem végez munkát a háttérben, nem következtetnek egymásra, ha mindkettő telepítve van.
Telepítéséhez és használatához mindkét esetben csak pár parancsra van szükség, semmi bonyolult. Például abban az esetben, ha Debianra vagy derivatívákra akarjuk telepíteni, csak a következőket kell beírnunk:
sudo apt-get intsall chkrootkit sudo apt-get install rkhunter
Használni (bár az emberben további lehetőségek láthatók az elemzések finomítására):
sudo chkrootkit sudo rkhunter --list tests
En az rkhunter eseteAz első elemzés előtt frissíteni kell az aláírás alapját a –update opcióval. Vannak más lehetőségek is, például –ellenőrzés, –tiltás stb., ezért ajánlom, hogy ellenőrizze ember rkhunter további lehetőségekért.
Vigyázz! Lehetnek hamis pozitív eredmények, vagyis azt észleli, hogy vannak olyan rootkitek, amelyek nem ilyenek, ezért előfordulhat, hogy az általuk észlelt fenyegetések egy része nem. Normális esetben jó mindkettőt használni, mert ezek általában nem ugyanazokat a hamis pozitív eredményeket adják, és az eredmények szembeállításával kizárhatja, hogy ez a riasztás hiánya. A rootkit eltávolítása előtt azonban keressen információkat a Google-on, hogy ne törölje a fontos fájlokat.