我们已经在多个场合谈论过 的rootkit,以及一般的安全性。 但是这一次,我们将专注于如何检测和消除它们。 首先,对于那些不知道rootkit是什么的人来说,它是一种恶意软件,可以由一个程序或一组恶意程序组成,这些程序或程序伪装成未经用户许可即可执行不需要的任务。
好吧,在Unix环境中,当然在Linux环境中,您可以找到许多杀毒软件和其他特定工具来消除这种类型的恶意软件,例如 chkrootkit和rkhunter,这是最著名的。 您会觉得它们很熟悉,因为在此博客中我们也多次讨论过它们,此外,它们的行为都相似,并且由于它们不在后台进行工作,因此它们彼此之间不会相互推断。
对于它的安装和使用,在两种情况下都只需要几个命令,没有什么复杂的。 例如,如果要在Debian或衍生版本上安装它,我们只需键入以下内容:
sudo apt-get intsall chkrootkit sudo apt-get install rkhunter
使用它 (尽管您可以在人工中看到更多选择来完善分析):
sudo chkrootkit sudo rkhunter --list tests
En rkhunter案在进行第一次分析之前,有必要使用–update选项更新签名库。 还有其他选项,例如–check,–disable 等等,所以我建议您检查一下 曼克亨特r了解更多选项。
噢! 可能会有误报, 也就是说,它检测到一些可能不是这样的rootkit,因此,它们检测到的某些威胁可能没有。 通常,最好同时使用这两种方法,因为它们通常不会给出相同的误报,并且您可以通过对比结果来排除这是故障警报。 但是,在删除rootkit之前,请在Google上搜索信息,以免删除重要文件。