Am vorbit deja în mai multe rânduri despre rootkit-uri, și despre securitate în general. Dar de data aceasta ne vom concentra asupra modului de a le detecta și a le elimina. În primul rând, pentru cei care nu știu ce este un rootkit, este un malware care poate fi compus dintr-un program sau un set de programe rău intenționate care se deghizează pentru a îndeplini sarcini nedorite și fără acordul utilizatorului.
Ei bine, în mediile Unix și, bineînțeles, în Linux, puteți găsi o multitudine de antivirus și alte instrumente specifice pentru a elimina acest tip de malware, cum ar fi chkrootkit și rkhunter, care sunt cele mai faimoase. Vă vor părea familiarizați, deoarece am vorbit despre ele în numeroase ocazii în acest blog, în plus, ambii acționează într-un mod similar și, nefăcând lucrări în fundal, nu se deduc reciproc dacă ambii sunt instalați.
Pentru instalare și utilizare, sunt necesare doar câteva comenzi în ambele cazuri, nimic complicat. De exemplu, în cazul în care dorim să-l instalăm pe un Debian sau derivate, trebuie doar să tastați următoarele:
sudo apt-get intsall chkrootkit sudo apt-get install rkhunter
Pentru a-l folosi (deși puteți vedea mai multe opțiuni la om pentru a rafina analizele):
sudo chkrootkit sudo rkhunter --list tests
En cazul rkhunterÎnainte de prima analiză, va fi necesară actualizarea bazei de semnături cu opțiunea –actualizare. Există și alte opțiuni precum –check, –disable , etc., așa că vă recomand să verificați omul rkhunter pentru mai multe opțiuni.
Ferește-te! Pot exista falsuri pozitive, adică detectează unele posibile rootkit-uri care nu sunt astfel, prin urmare, unele dintre amenințările pe care le detectează pot să nu fie. În mod normal, este bine să le folosiți pe ambele, deoarece acestea nu dau de obicei aceleași falsuri pozitive și puteți exclude faptul că este o alarmă de eroare prin contrastarea rezultatelor. Cu toate acestea, înainte de a elimina rootkit-ul, căutați informații pe Google pentru a nu șterge fișierele importante.