เราได้พูดไปหลายต่อหลายครั้งเกี่ยวกับ รูทคิทและเกี่ยวกับความปลอดภัยโดยทั่วไป แต่คราวนี้เราจะมุ่งเน้นไปที่วิธีการตรวจจับและกำจัดพวกมัน ประการแรกสำหรับผู้ที่ไม่ทราบว่ารูทคิตคืออะไรมันเป็นมัลแวร์ที่อาจประกอบด้วยโปรแกรมหรือชุดของโปรแกรมที่เป็นอันตรายที่ปลอมตัวเพื่อดำเนินงานที่ไม่ต้องการและไม่ได้รับความยินยอมจากผู้ใช้
ในสภาพแวดล้อม Unix และแน่นอนใน Linux คุณสามารถค้นหาโปรแกรมป้องกันไวรัสและเครื่องมือเฉพาะอื่น ๆ มากมายเพื่อกำจัดมัลแวร์ประเภทนี้เช่น chkrootkit และ rkhunterซึ่งมีชื่อเสียงที่สุด พวกเขาจะฟังดูคุ้นเคยเพราะเราได้พูดคุยเกี่ยวกับพวกเขาหลายต่อหลายครั้งในบล็อกนี้นอกจากนี้ทั้งสองยังทำหน้าที่ในลักษณะเดียวกันและโดยการไม่ทำงานเบื้องหลังพวกเขาจะไม่อนุมานซึ่งกันและกันหากทั้งสองได้ติดตั้ง
สำหรับการติดตั้งและใช้งานจำเป็นต้องใช้คำสั่งเพียงไม่กี่คำในทั้งสองกรณีไม่มีอะไรซับซ้อน ตัวอย่างเช่นในกรณีที่ต้องการติดตั้งบน Debian หรืออนุพันธ์เราต้องพิมพ์ดังต่อไปนี้:
sudo apt-get intsall chkrootkit sudo apt-get install rkhunter
เพื่อใช้งาน (แม้ว่าคุณจะเห็นตัวเลือกเพิ่มเติมในมนุษย์เพื่อปรับแต่งการวิเคราะห์):
sudo chkrootkit sudo rkhunter --list tests
En กรณีของ rkhunterก่อนการวิเคราะห์ครั้งแรกจำเป็นต้องอัปเดตฐานลายเซ็นด้วยตัวเลือกอัปเดต นอกจากนี้ยังมีตัวเลือกอื่น ๆ เช่น –check, –disable ฯลฯ ดังนั้นฉันขอแนะนำให้คุณตรวจสอบ คน rkhunter เพื่อดูตัวเลือกเพิ่มเติม
¡ Ojo! อาจมีผลบวกปลอม กล่าวคือตรวจพบรูทคิทที่เป็นไปได้บางส่วนที่ไม่ได้เป็นเช่นนั้นดังนั้นภัยคุกคามบางอย่างที่ตรวจพบอาจไม่เป็นเช่นนั้น โดยปกติแล้วจะเป็นการดีที่จะใช้ทั้งสองอย่างเพราะมักจะไม่ให้ผลบวกที่ผิดพลาดเหมือนกันและคุณสามารถแยกแยะได้ว่าเป็นการเตือนข้อผิดพลาดโดยการเปรียบเทียบผลลัพธ์ อย่างไรก็ตามก่อนที่จะลบ rootkit ให้ค้นหาข้อมูลใน Google เพื่อที่จะไม่ลบไฟล์สำคัญ