如果在我不知情的情况下安装了 rootkit 来远程控制计算机,那么我猜更新管理器也应该受到影响,然后内核更新等......可能是被感染的?
有没有办法无需使用另一台计算机即可验证是否在我不知情的情况下放置了 rootkit?
我用 chkrootkit 扫描了一下,结果显示 suckit rootkit 已安装,但 RKHunter 却检测不到它,我读到这些程序通常无用(至少在没有适当知识的情况下)并且会给出误报,如果计算机上安装了好的 rootkit,它会控制这些程序和日志,而我永远不会知道它在那里。谢谢。
答案1
Rkhunter实际上比 的检测效果更好Chrootkit(并且与Rkhuntersuckit rootkit 的其他检查不同Chrootkit,如果只Chrootkit检测它,那么它是几乎肯定是假阳性),然而两者都需要在 rootkit 之前安装,否则它们将无法检测到,所以它们是在安装操作系统时以及在更新、安装或更改其他任何东西之前需要安装的东西。
因此,除非您在安装 rootkit 之前就已经拥有它们,否则它们不会有任何用处,因为它们关注的是新的变化,并假设系统当前是安全的。
不过,还有一种更先进的工具,叫做奥塞克它可以做一系列其他的事情,并且能够检测系统上的rootkit,而不需要在rootkit之前安装(尽管这样做可能是明智的,因为rootkit仍然可以改变它,但由于它以不同的方式工作,它能够检测到在它之前安装的rootkit)。
如果我担心我有一个内核级 rootkit,我不会担心更新被感染,我会担心 rootkit 已经在我的内核中,因此可以做任何事情,甚至破坏安装系统,以便我可以安装任何东西来检测它。
答案2
如果你怀疑你的系统上安装了 rootkit,这里有一篇关于检测它们的好文章:
如果你担心 aptitude 可能有问题,你可以从源代码下载它们。例如:
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar -xvzf chkrootkit.tar.gz
“cd”进入此创建的目录并按照 README 中的说明进行操作。这将排除 rootkit 更改您的源列表并引入您不想要的内容的可能性。
理想情况下,你应该在有人安装 rootkit 之前安装好检测软件,但大多数情况下你可以绕过它。请记住,任何隐藏在内核中的 rootkit 都会增加内核的大小。rootkit 越复杂,内核就越大。你可以在 kernel.org 的源代码中查看最近内核的规格。如果你的内核占用的资源比它应该占用的要多,那么你可能有一个 rootkit,但在媒体、科学、政府和电信行业的 15 年企业 IT 工作中,我只见过一次部署 rootkit,那是在电视节目《黑客军团》中。
最终,如果您有正当理由怀疑机器被篡改,最好的办法就是擦除机器并重新开始。