Večkrat smo že govorili o rootkitiin o varnosti na splošno. Tokrat pa se bomo osredotočili na to, kako jih odkriti in odpraviti. Prvič, za tiste, ki ne vedo, kaj je rootkit, gre za zlonamerno programsko opremo, ki jo lahko sestavlja program ali nabor zlonamernih programov, ki se preoblečejo v izvajanje neželenih nalog in brez soglasja uporabnika.
No, v okoljih Unix in seveda v Linuxu lahko najdete množico protivirusnih in drugih posebnih orodij za odpravo te vrste zlonamerne programske opreme, na primer chkrootkit in rkhunter, ki so najbolj znani. Slišali se vam bodo znani, ker smo o njih že večkrat govorili v tem blogu, poleg tega pa oba delujeta na podoben način in ker v ozadju ne opravljata dela, ne sklepata drug o drugem, če sta oba nameščena.
Za njegovo namestitev in uporabo je v obeh primerih potrebnih le nekaj ukazov, nič zapletenega. Na primer, če ga želimo namestiti v Debian ali izpeljane finančne instrumente, moramo vnesti naslednje:
sudo apt-get intsall chkrootkit sudo apt-get install rkhunter
Da ga uporabim (čeprav lahko pri človeku vidite več možnosti za izboljšanje analiz):
sudo chkrootkit sudo rkhunter --list tests
En primer rkhunterPred prvo analizo bo treba osnovo za podpis posodobiti z možnostjo - posodobi. Obstajajo tudi druge možnosti, kot so –preveri, –nemogočno itd., zato priporočam, da preverite človek rkhunter za več možnosti.
oko! Lahko so lažno pozitivni, se pravi, da zazna nekatere možne rootkite, ki niso takšni, zato nekatere grožnje, ki jih zaznajo, morda niso. Običajno je dobro uporabiti oboje, ker ponavadi ne dajeta enakih lažnih pozitivnih rezultatov in lahko s kontrastom rezultatov izključite, da gre za alarm napake. Preden odstranite rootkit, pa poiščite informacije v Googlu, da ne izbrišete pomembnih datotek.