Если ваша система имеет руткит, вы должны:
Соберите любую информацию о запущенных процессах на вашем компьютере. Сделайте копию ОЗУ и вашего жесткого диска. переформатировать / переделать жесткий диск (ы). Установить новую систему / восстановить резервную копию.Первые два момента полезны, если вы хотите исследовать в этой проблеме. Возможно, также полезно не прикасаться к системе до тех пор, пока ваше расследование не закончится.
В случае руткита у кого-то другого, вероятно, был полный доступ к вашему компьютеру. Поэтому важно полностью удалить старую систему. Thatswhy вы должны переформатировать свой диск. Если вам повезло и у вас есть последняя резервная копия, вам нужно восстановить ее, и все готово. Если нет, вам необходимо переустановить систему. Это единственный способ безопасного удаления руткита и создания чистой системы.
Я не совсем уверен, спрашиваете ли вы о whereis или which, поэтому я просто буду обращаться к обоим.
Запустите whereis -l, чтобы получить список путей, которые использует программа. По умолчанию он ищет двоичные, исходные и ручные файлы, вы можете изменить это поведение с помощью параметров -b, -s и -m, например
$ whereis -m apt
apt: /usr/share/man/man8/apt.8.gz
$ whereis -b apt
apt: /usr/bin/apt /usr/lib/apt /etc/apt
В отличие от which (см. Ниже ) whereis не проверяет, является ли файл исполняемым при поиске двоичных файлов, поэтому touch /bin/apt изменяет его вывод.
whereis находит двоичные, исходные и ручные файлы для указанных имен команд. (...) [It] пытается найти нужную программу в стандартных местах Linux и в местах, определенных $PATH и $MANPATH. (...) Самый простой способ узнать, какие пути используются, - добавить опцию листинга -l. Источник: man whereis
which возвращает имена путей (...) путем поиска PATH для исполняемых файлов, соответствующих именам аргументов , Источник: man which
IFS=':'; find $PATH -mindepth 1 -maxdepth 1 -type f -executable -name "SEARCH"
Я считаю, что which делает то же самое, что и эта команда find:
$ which apt
/usr/bin/apt
$ IFS=':'; find $PATH -mindepth 1 -maxdepth 1 -type f -executable -name "apt"
/usr/bin/apt
Он ищет все каталоги, присутствующие в PATH для исполняемых файлов с именем SEARCH, например для apt:
$ touch /bin/apt
$ chmod +x /bin/apt
$ which -a apt
/usr/bin/apt
/bin/apt
$ IFS=':'; find $PATH -mindepth 1 -maxdepth 1 -type f -executable -name "apt"
/usr/bin/apt
/bin/apt
Я не совсем уверен, спрашиваете ли вы о whereis или which, поэтому я просто буду обращаться к обоим.
Запустите whereis -l, чтобы получить список путей, которые использует программа. По умолчанию он ищет двоичные, исходные и ручные файлы, вы можете изменить это поведение с помощью параметров -b, -s и -m, например
$ whereis -m apt
apt: /usr/share/man/man8/apt.8.gz
$ whereis -b apt
apt: /usr/bin/apt /usr/lib/apt /etc/apt
В отличие от which (см. Ниже ) whereis не проверяет, является ли файл исполняемым при поиске двоичных файлов, поэтому touch /bin/apt изменяет его вывод.
whereis находит двоичные, исходные и ручные файлы для указанных имен команд. (...) [It] пытается найти нужную программу в стандартных местах Linux и в местах, определенных $PATH и $MANPATH. (...) Самый простой способ узнать, какие пути используются, - добавить опцию листинга -l. Источник: man whereis
which возвращает имена путей (...) путем поиска PATH для исполняемых файлов, соответствующих именам аргументов , Источник: man which
IFS=':'; find $PATH -mindepth 1 -maxdepth 1 -type f -executable -name "SEARCH"
Я считаю, что which делает то же самое, что и эта команда find:
$ which apt
/usr/bin/apt
$ IFS=':'; find $PATH -mindepth 1 -maxdepth 1 -type f -executable -name "apt"
/usr/bin/apt
Он ищет все каталоги, присутствующие в PATH для исполняемых файлов с именем SEARCH, например для apt:
$ touch /bin/apt
$ chmod +x /bin/apt
$ which -a apt
/usr/bin/apt
/bin/apt
$ IFS=':'; find $PATH -mindepth 1 -maxdepth 1 -type f -executable -name "apt"
/usr/bin/apt
/bin/apt