Como faço para remover rootkits?

6

No meu entender, os rootkits no linux infectam o kernel para obter privilégios de root e há muitos scanners (eu uso o rkhunter) para procurar por rootkits no kernel, mas ainda não encontrei um programa que remova rootkits.

Como eu removeria um rootkit no linux? Eu teria que baixar o mesmo kernel e substituir os arquivos infectados? Qual é a melhor maneira de fazer isso?

    
por Franz Payer 08.08.2012 / 15:57

2 respostas

8

O problema intrínseco de um rootkit é que ele se torna um problema no seu sistema operacional; Se você se infectou com um, não há uma maneira segura de eliminá-lo de dentro do sistema operacional, porque se o seu kernel estiver comprometido, você não pode confiar em nada do que ele diz sobre seus arquivos, etc.

Assim, para eliminar um rootkit, você precisa desligar o sistema operacional e manipular o sistema de arquivos de outro sistema operacional e, nesse caso, é provavelmente menos dispendioso simplesmente reinstalar o sistema operacional em vez de tentar auditar o sistema existente e reparar quaisquer componentes enraizados.

Como @ Cumulus007 aponta, a incidência de um rootkit em um sistema Linux de uso de desktop é muito baixa. As probabilidades são um pouco piores para uma instalação de uso do servidor, mas ainda muito baixas.

    
por Adrian 08.08.2012 / 16:17
1

Acho que a melhor e mais segura abordagem para remover rootkits é reinstalar o sistema após o backup dos dados. É aconselhável pesquisar como o rootkit foi instalado.

    
por kaan 08.08.2012 / 16:15