Как я удаляю руткиты?
К моему пониманию руткиты на Linux заражают ядро для получения прав пользователя root и существует много сканеров (я использую rkhunter) просканировать для руткитов в ядре, но я должен все же найти программу, которая удалила бы руткиты.
Как я удалил бы руткит в Linux? Я должен был бы загрузить то же ядро и заменить зараженные файлы? Что лучший способ состоит в том, чтобы пойти о выполнении этого?
2 ответа
Внутренняя проблема руткита заключается в том, что он глубоко внедряется в вашу операционную систему; если вы заражены одним из них, не существует безопасного способа удалить его из-под рутированной операционной системы, потому что если ваше ядро взломано, вы не можете доверять тому, что оно говорит о ваших файлах и т. д.
Таким образом, чтобы устранить руткит, вы должны закрыть ОС и манипулировать файловой системой из другой ОС, и в таком случае, вероятно, дешевле просто переустановить операционную систему, чем пытаться проверять существующую систему и отремонтируйте все укоренившиеся компоненты.
Как указывает @ Cumulus007, количество руткитов в Linux-системах для настольных компьютеров очень низкое. Коэффициенты немного хуже для установки с использованием сервера, но все еще очень низки.
Я думаю, что лучший и самый безопасный подход для удаления руткитов - это переустановить систему после резервного копирования данных. Рекомендуется поискать, как был установлен руткит.