Já falamos várias vezes sobre rootkitse sobre segurança em geral. Mas desta vez vamos nos concentrar em como detectá-los e eliminá-los. Em primeiro lugar, para quem não sabe o que é um rootkit, é um malware que pode ser composto por um programa ou conjunto de programas maliciosos que se disfarçam para realizar tarefas indesejadas e sem o consentimento do usuário.
Bem, em ambientes Unix e claro no Linux, você pode encontrar uma infinidade de antivírus e outras ferramentas específicas para eliminar este tipo de malware, como chkrootkit e rkhunter, que são os mais famosos. Eles soarão familiares para você porque também falamos sobre eles em várias ocasiões neste blog, além de que ambos agem de forma semelhante e, por não fazerem trabalhos em segundo plano, não se inferem se ambos estão instalados.
Para sua instalação e uso, apenas alguns comandos são necessários em ambos os casos, nada complicado. Por exemplo, no caso de querer instalá-lo em um Debian ou derivados, basta digitar o seguinte:
sudo apt-get intsall chkrootkit sudo apt-get install rkhunter
Para usá-lo (embora você possa ver mais opções no homem para refinar as análises):
sudo chkrootkit sudo rkhunter --list tests
En o caso de rkhunterAntes da primeira análise, será necessário atualizar a base de assinaturas com a opção –update. Existem também outras opções como –check, –disable , etc., então eu recomendo que você verifique homem rkhunter para mais opções.
¡Ojo! Pode haver falsos positivos, ou seja, ele detecta alguns rootkits possíveis que não são tais, portanto, algumas das ameaças que eles detectam podem não ser. Normalmente é bom usar ambos, porque eles geralmente não dão os mesmos falsos positivos e você pode descartar que é um alarme de falha contrastando os resultados. Porém, antes de remover o rootkit, pesquise informações no Google para não excluir arquivos importantes.