Meilleur outil de suppression de rootkit pour un serveur?
et quel programme/routine sysadmin est recommandé?
Il n’existe aucun outil de suppression de rootkit automatisé pour Ubuntu, mais uniquement des outils permettant de rechercher des rootkits.
chkrootkit et rkhunter sont des outils relativement robustes pour la détection des rootkits, mais ils ne valent que par leurs règles. Regardez également tripwire , qui vérifie les modifications des fichiers critiques.
Tous les éléments ci-dessus devraient être exécutés régulièrement via cron.
Si votre système possède un rootkit, vous devriez:
- Recueillez des informations sur les processus en cours d'exécution sur votre ordinateur.
- Faites une copie de RAM et de votre disque dur.
- reformater/repartitionner vos disques durs
- Installez un nouveau système/restaurez votre sauvegarde.
Les deux premiers points sont utiles si vous souhaitez enquêter sur ce problème. Peut-être est-il également utile de ne pas toucher au système jusqu'à la fin de votre enquête.
Dans le cas d'un rootkit, une autre personne avait probablement un accès complet à votre ordinateur. Il est donc important de supprimer complètement l'ancien système. C'est pourquoi vous devriez reformater votre disque. Si votre chance a une sauvegarde récente, vous devez la restaurer et vous avez terminé. Sinon, vous devez réinstaller le système. C’est le seul moyen de supprimer le rootkit en toute sécurité et de mettre en place un système propre.