Zaten birkaç kez konuştuk rootkitve genel olarak güvenlik hakkında. Ama bu sefer onları nasıl tespit edip ortadan kaldıracağımıza odaklanacağız. Öncelikle, rootkit'in ne olduğunu bilmeyenler için, kullanıcının izni olmadan istenmeyen görevleri yerine getirmek için kendilerini gizleyen bir program veya kötü amaçlı programlardan oluşan bir kötü amaçlı yazılımdır.
Unix ortamlarında ve tabii ki Linux'ta, bu tür kötü amaçlı yazılımları ortadan kaldırmak için çok sayıda antivirüs ve diğer özel araçlar bulabilirsiniz. chkrootkit ve rkhunter, en ünlüleri. Size tanıdık gelecekler çünkü bu blogda sayısız kez onlardan bahsetmiştik, ayrıca ikisi de benzer şekilde hareket ediyorlar ve arka planda çalışmayarak birbirlerinin her ikisinin de kurulu olduğu sonucuna varmıyorlar.
Kurulumu ve kullanımı için, her iki durumda da sadece birkaç komuta ihtiyaç vardır, hiçbir şey karmaşık değildir. Örneğin, bir Debian veya türevlerine kurmak istememiz durumunda, sadece aşağıdakileri yazmamız gerekir:
sudo apt-get intsall chkrootkit sudo apt-get install rkhunter
Kullanmak için (analizleri iyileştirmek için insanda daha fazla seçenek görmenize rağmen):
sudo chkrootkit sudo rkhunter --list tests
En rkhunter vakasıİlk analizden önce, imza tabanını –update seçeneğiyle güncellemek gerekecektir. Ayrıca –check, –disable gibi başka seçenekler de vardır. vb., bu yüzden kontrol etmenizi tavsiye ederim. adam rkhunteDaha fazla seçenek için r.
Dikkat! Yanlış pozitifler olabilir, başka bir deyişle, böyle olmayan bazı olası rootkit'leri tespit eder, bu nedenle tespit ettikleri bazı tehditler olmayabilir. Normalde her ikisini de kullanmak iyidir, çünkü genellikle aynı yanlış pozitifleri vermezler ve sonuçları karşılaştırarak bunun bir hata alarmı olduğunu ekarte edebilirsiniz. Ancak, rootkit'i kaldırmadan önce, önemli dosyaları silmemek için Google'da bilgi arayın.