Vi har redan talat vid flera tillfällen om rootkitsoch om säkerhet i allmänhet. Men den här gången kommer vi att fokusera på hur vi kan upptäcka och eliminera dem. Först och främst för de som inte vet vad ett rootkit är, är det ett skadligt program som kan bestå av ett program eller en uppsättning skadliga program som döljer sig för att utföra oönskade uppgifter och utan användarens medgivande.
Tja, i Unix-miljöer och naturligtvis i Linux kan du hitta en mängd antivirusprogram och andra specifika verktyg för att eliminera denna typ av skadlig kod, som t.ex. chkrootkit och rkhunter, som är de mest kända. De kommer att låta bekanta för dig eftersom vi också har pratat om dem vid ett flertal tillfällen i den här bloggen, dessutom agerar de båda på samma sätt och genom att inte göra arbete i bakgrunden drar de inte av varandra om de båda är installerade.
För installation och användning behövs bara ett par kommandon i båda fallen, inget komplicerat. Om vi till exempel vill installera det på en Debian eller derivat måste vi bara skriva följande:
sudo apt-get intsall chkrootkit sudo apt-get install rkhunter
Att använda den (även om du kan se fler alternativ hos människor för att förfina analyserna):
sudo chkrootkit sudo rkhunter --list tests
En fallet med rkhunterInnan den första analysen är det nödvändigt att uppdatera signaturbasen med alternativet –update. Det finns också andra alternativ som –check, –disable , etc., så jag rekommenderar att du kontrollerar man rkhunter för fler alternativ.
Se upp! Det kan finnas falska positiva det vill säga att det upptäcker några möjliga rootkits som inte är sådana, därför kan det hända att vissa hot som de upptäcker inte är. Normalt är det bra att använda båda, eftersom de vanligtvis inte ger samma falska positiva resultat och du kan utesluta att det är brist på larm genom att kontrastera resultaten. Innan du tar bort rootkiten, sök dock efter information på Google för att inte ta bort viktiga filer.