Rozmawialiśmy już o tym przy kilku okazjach rootkityi ogólnie o bezpieczeństwie. Ale tym razem skupimy się na tym, jak je wykryć i wyeliminować. Przede wszystkim dla tych, którzy nie wiedzą, czym jest rootkit, jest to złośliwe oprogramowanie, które może składać się z programu lub zestawu złośliwych programów, które podszywają się pod wykonanie niechcianych zadań bez zgody użytkownika.
Cóż, w środowiskach Unix i oczywiście w Linuksie można znaleźć wiele programów antywirusowych i innych specyficznych narzędzi do eliminacji tego typu złośliwego oprogramowania, takich jak chkrootkit i rkhunter, które są najbardziej znane. Będą brzmiały znajomo, bo o nich też rozmawialiśmy wielokrotnie na tym blogu, a ponadto obaj zachowują się podobnie i nie wykonując pracy w tle, nie wnioskują o sobie nawzajem, czy są zainstalowane.
Do jego instalacji i użytkowania potrzeba tylko kilka poleceń w obu przypadkach, nic skomplikowanego. Na przykład, w przypadku chęci zainstalowania go na Debianie lub pochodnych, wystarczy wpisać:
sudo apt-get intsall chkrootkit sudo apt-get install rkhunter
Aby z niego skorzystać (chociaż możesz zobaczyć więcej opcji w man, aby udoskonalić analizy):
sudo chkrootkit sudo rkhunter --list tests
En przypadek rkhunterPrzed pierwszą analizą konieczne będzie zaktualizowanie bazy podpisów opcją –update. Istnieją również inne opcje, takie jak –check, –disable itp., więc polecam to sprawdzić mężczyzna rkhunter, aby uzyskać więcej opcji.
¡Ojo! Mogą występować fałszywe alarmy, to znaczy, że wykrywa pewne możliwe rootkity, które nie są takimi, w związku z czym niektóre z wykrytych zagrożeń mogą nie być. Zwykle dobrze jest używać obu, ponieważ zwykle nie dają tych samych fałszywych alarmów i można wykluczyć, że jest to alarm błędu, porównując wyniki. Jednak przed usunięciem rootkita poszukaj informacji w Google, aby nie usuwać ważnych plików.