Root kit советы по убунту
Я был пользователем Windows много лет, но недавно Avast выпустил сотни файлов, зараженных руткитами. Поэтому я решил переключиться на Ubuntu, чтобы стереть все, и я очень доволен изменением.
Но я все еще параноик по поводу любой возможной инфекции руткитов. В то время мне приходилось загружать и записывать установочный компакт-диск Ubuntu со своего зараженного ноутбука. У меня такое чувство, что это, вероятно, не лучшая идея, но это мой единственный компьютер.
Я полностью вытер жесткий диск при установке Ubuntu, но продолжаю читать о руткитах, которые находятся в ядре или сетевой карте. Можно ли как-нибудь проверить, заражен ли мой ноутбук?
1 ответ
Прежде всего, добро пожаловать в свободный мир. Во-вторых, да, все еще существует вероятность того, что ваше оборудование заражено, поскольку вы не объяснили, где и как вы "стерли все" с диска. Руткиты, которые находятся на аппаратном уровне (если вы действительно были заражены руткитами, важно знать, какой руткит был установлен и где в системе), намного сложнее удалить из системы и может потребовать замены оборудования, если руткит был установлен на слое прошивки.
Я указываю вам на статью в Википедии, которая объясняет некоторые из них, и может быть полезной в этом. Существует множество детекторов руткитов, но эффективность всегда зависит от способности действительно обнаруживать вредоносные программы и где / когда загружен руткит. Если вы загружены в прошивку, подозревайте, что вам нужно новое оборудование.
Гораздо сложнее заразить или атаковать систему Linux из-за разнообразия установок, разбиения и способов защиты экземпляров. Не существует подхода "единой модели", поэтому уровень сложности атаки значительно сложнее. Не то чтобы это невозможно, это возможно, но скорее это может не принести тот же "удар по доллару", на котором авторы вредоносных программ хотят сосредоточиться.
Поскольку мы не знаем, какой руткит был установлен, где он был установлен и что он повлиял на систему, я бы отнесся к нему как к "ненадежному", поскольку вы не знаете, где находится руткит в системе.
Darik Boot and Nuke - это, пожалуй, лучший инструмент для очистки жесткого диска, который вы можете выбрать, но требуется терпение, чтобы полностью стереть диск. Это все еще не гарантирует, что любой руткит, который мог иметь зараженную прошивку, будет удален. Вероятность того, что руткит Windows скомпрометирует систему Linux, весьма мала, если только она не была записана в прошивку, BIOS или другое предзагрузочное оборудование, которое дает ему полный контроль над системой независимо от установленной ОС.
Я бы посоветовал изучить систему кому-то, кто действительно понимает то же самое, и выяснить, как был установлен этот руткит, и предотвратить повторение этого пути доступа.
Что касается Linux, существуют chkrootkit, rkhunter, maldetect и другие предложения (некоторые коммерческие). Они помогают предотвращать и обнаруживать вредоносные программы и руткиты, и в целом они эффективны. Тем не менее, заявив, что я не буду начинать с известного плохого оборудования, если я не уверен, что сначала полностью избавлюсь от руткита, а потом, я заменю диск, как это всегда подозрительно.
Надеюсь, это полезная информация. Хорошего дня.