Již jsme několikrát mluvili o rootkitya obecně o bezpečnosti. Tentokrát se ale zaměříme na to, jak je detekovat a eliminovat. Za prvé, pro ty, kteří nevědí, co je rootkit, je to malware, který může být složen z programu nebo sady škodlivých programů, které se maskují za provádění nechtěných úkolů a bez souhlasu uživatele.
V prostředích Unixu a samozřejmě v Linuxu najdete řadu antivirových a dalších specifických nástrojů k eliminaci tohoto typu malwaru, jako je například chkrootkit a rkhunter, které jsou nejznámější. Budou vám znít povědomě, protože jsme o nich v tomto blogu také hovořili při mnoha příležitostech, navíc jednají podobně a tím, že nepracují na pozadí, se navzájem nevyvodí, pokud jsou oba nainstalováni.
Pro jeho instalaci a použití je v obou případech potřeba pouze pár příkazů, nic komplikovaného. Například v případě, že jej chcete nainstalovat na Debian nebo na jeho deriváty, stačí zadat následující:
sudo apt-get intsall chkrootkit sudo apt-get install rkhunter
Chcete-li to použít (i když v člověku vidíte více možností, jak upřesnit analýzy):
sudo chkrootkit sudo rkhunter --list tests
En případ rkhunterPřed první analýzou bude nutné aktualizovat podpisovou základnu s volbou –update. Existují také další možnosti, jako –check, –disable atd., takže doporučuji zkontrolovat muž rkhunter pro více možností.
Oko! Mohou existovat falešná pozitiva, to znamená, že detekuje některé možné rootkity, které nejsou takové, proto některé z hrozeb, které detekují, nemusí být. Normálně je dobré použít obojí, protože obvykle nedávají stejné falešné poplachy a kontrastem výsledků můžete vyloučit, že se jedná o poruchový alarm. Před odebráním rootkitu však vyhledejte informace na Googlu, abyste nesmazali důležité soubory.