Chúng tôi đã nói nhiều lần về rootkitvà về bảo mật nói chung. Nhưng lần này chúng ta sẽ tập trung vào cách phát hiện và loại bỏ chúng. Trước hết, đối với những người không biết rootkit là gì, nó là một phần mềm độc hại có thể bao gồm một chương trình hoặc tập hợp các chương trình độc hại tự ngụy trang để thực hiện các tác vụ không mong muốn và không có sự đồng ý của người dùng.
Chà, trong môi trường Unix và tất nhiên trong Linux, bạn có thể tìm thấy vô số phần mềm chống vi-rút và các công cụ cụ thể khác để loại bỏ loại phần mềm độc hại này, chẳng hạn như chkrootkit và rkhunter, mà là nổi tiếng nhất. Chúng nghe có vẻ quen thuộc với bạn vì chúng tôi cũng đã nói về chúng nhiều lần trong blog này, ngoài ra cả hai đều hoạt động theo cách tương tự và bằng cách không thực hiện công việc trong nền, chúng không suy ra nhau nếu cả hai đều được cài đặt.
Để cài đặt và sử dụng nó, chỉ cần một vài lệnh trong cả hai trường hợp, không có gì phức tạp. Ví dụ, trong trường hợp muốn cài đặt nó trên Debian hoặc các dẫn xuất, chúng ta chỉ cần nhập như sau:
sudo apt-get intsall chkrootkit sudo apt-get install rkhunter
Để dùng nó (mặc dù bạn có thể xem thêm các tùy chọn khác để tinh chỉnh các phân tích):
sudo chkrootkit sudo rkhunter --list tests
En trường hợp của rkhunterTrước lần phân tích đầu tiên, cần phải cập nhật cơ sở chữ ký với tùy chọn – cập nhật. Ngoài ra còn có các tùy chọn khác như –check, –disable , v.v., vì vậy tôi khuyên bạn nên kiểm tra người đàn ông rkhunter để có thêm tùy chọn.
Ojo! Có thể có kết quả dương tính giả, nghĩa là nó phát hiện một số rootkit có thể không phải như vậy, do đó, một số mối đe dọa mà chúng phát hiện có thể không có. Thông thường, tốt nhất là sử dụng cả hai, vì chúng thường không cho kết quả dương tính giả giống nhau và bạn có thể loại trừ rằng đó là một cảnh báo lỗi bằng cách đối chiếu kết quả. Tuy nhiên, trước khi gỡ rootkit, hãy tìm kiếm thông tin trên Google để không xóa các tập tin quan trọng.