我們已經在多個場合談論過 rootkit的,以及一般的安全性。 但是這一次,我們將專注於如何檢測和消除它們。 首先,對於那些不知道rootkit是什麼的人,它是一種惡意軟件,可以由一個程序或一組惡意程序組成,這些程序或偽裝程序偽裝成可以執行不需要的任務,而無需用戶的同意。
好吧,在Unix環境中,當然在Linux環境中,您可以找到許多殺毒軟件和其他特定工具來消除這種類型的惡意軟件,例如 chkrootkit和rkhunter,這是最著名的。 您會覺得它們很熟悉,因為在此博客中我們也多次討論過它們,此外,它們的行為均相似,並且由於它們不在後台進行工作,因此它們彼此之間不會相互推斷。
對於它的安裝和使用,在兩種情況下都只需要幾個命令,沒有什麼複雜的。 例如,如果要在Debian或衍生版本上安裝它,我們只需鍵入以下內容:
sudo apt-get intsall chkrootkit sudo apt-get install rkhunter
使用它 (儘管您可以在人工中看到更多選擇來完善分析):
sudo chkrootkit sudo rkhunter --list tests
En rkhunter案在進行第一次分析之前,有必要使用–update選項更新簽名庫。 還有其他選項,例如–check,–disable 等等,所以我建議您檢查一下 曼·亨特(Man rkhunte)r了解更多選項。
噢! 可能會有誤報, 也就是說,它檢測到了一些可能不是這樣的rootkit,因此,它們檢測到的某些威脅可能沒有。 通常,最好同時使用這兩種方法,因為它們通常不會給出相同的誤報,並且您可以通過對比結果來排除這是故障警報。 但是,在刪除rootkit之前,請在Google上搜索信息,以免刪除重要文件。