Как удалить руткиты?
Насколько я понимаю, руткиты в linux заражают ядро, чтобы получить права суперпользователя, и есть много сканеров (я использую rkhunter) для сканирования руткитов в ядре, но мне еще не удалось найти программу, которая удаляла бы руткиты.
Как бы я удалить руткит в Linux? Должен ли я загрузить то же ядро и заменить зараженные файлы? Каков наилучший способ сделать это?
2 ответа
Внутренняя проблема руткита заключается в том, что он глубоко внедряется в вашу операционную систему; если вы инфицированы одним из них, не существует безопасного способа удалить его из-под рутированной операционной системы, потому что если ваше ядро взломано, вы не можете доверять тому, что оно говорит о ваших файлах и т. д.
Таким образом, чтобы устранить руткит, вы должны завершить работу ОС и манипулировать файловой системой из другой ОС, и в этом случае, вероятно, дешевле просто переустановить операционную систему, чем пытаться провести аудит существующей системы и восстановить любую корневую систему. компоненты.
Как указывает @Cumulus007, количество руткитов в Linux-системах для настольных компьютеров очень низкое. Коэффициенты немного хуже для установки с использованием сервера, но все еще очень низки.
Я думаю, что лучший и самый безопасный подход для удаления руткитов - это переустановить систему после резервного копирования данных. Желательно поискать как руткит был установлен.