据我所知,Linux 上的 rootkit 会感染内核以获取 root 权限,并且有许多扫描程序(我使用 rkhunter)可以扫描内核中的 rootkit,但我还没有找到可以删除 rootkit 的程序。
如何在 Linux 中删除 rootkit?我是否必须下载相同的内核并替换受感染的文件?执行此操作的最佳方法是什么?
答案1
根工具包的本质问题在于,它会深入到你的操作系统中;如果你被一个根工具包感染了,就没有安全的方法从根操作系统中将其消除,因为如果你的内核被破坏,你就不能相信它对你的文件所说的任何话,等等。
因此,为了消除 rootkit,您必须关闭操作系统并从另一个操作系统操作文件系统,在这种情况下,重新安装操作系统的成本可能比尝试审核现有系统并修复任何 rooted 组件的成本更低。
正如@Cumulus007 指出的那样,桌面版 Linux 系统上 rootkit 的发生率非常低。服务器版安装的发生率稍低一些,但仍然非常低。
答案2
我认为删除rootkit的最好和最安全的方法就是备份数据后重新安装系统。建议搜索rootkit是如何安装的。