Nach meinem Verständnis infizieren Rootkits unter Linux den Kernel, um Root-Rechte zu erhalten, und es gibt viele Scanner (ich verwende rkhunter), um nach Rootkits im Kernel zu suchen, aber ich habe noch kein Programm gefunden, das Rootkits entfernen würde.
Wie würde ich ein Rootkit unter Linux entfernen? Müsste ich denselben Kernel herunterladen und die infizierten Dateien ersetzen? Was ist der beste Weg, dies zu tun?
Das eigentliche Problem bei einem Rootkit besteht darin, dass es tief in Ihr Betriebssystem eindringt. Wenn Sie mit einem infiziert sind, gibt es keine sichere Möglichkeit, es aus dem verwurzelten Betriebssystem zu entfernen. Wenn Ihr Kernel kompromittiert ist, können Sie nichts vertrauen, was über Ihre Dateien usw. gesagt wird.
Um ein Rootkit zu entfernen, müssen Sie das Betriebssystem herunterfahren und das Dateisystem von einem anderen Betriebssystem aus manipulieren. In einem solchen Fall ist es wahrscheinlich weniger kostspielig, das Betriebssystem einfach neu zu installieren, als das vorhandene System zu prüfen und alle verwurzelten Systeme zu reparieren Komponenten.
Wie @ Cumulus007 hervorhebt, ist die Häufigkeit eines Rootkits auf einem Linux-System mit Desktop-Nutzung sehr gering. Die Chancen für eine Installation mit Servernutzung sind etwas schlechter, aber immer noch sehr gering.
Ich denke, der beste und sicherste Ansatz zum Entfernen von Rootkits besteht darin, das System nach dem Sichern der Daten neu zu installieren. Es ist ratsam zu suchen, wie das Rootkit installiert wurde.
quelle