Ako se vaš Mac ponaša čudno i sumnjate na rootkit, morat ćete preuzeti i skenirati s nekoliko različitih alata. Vrijedi napomenuti da biste mogli imati instaliran rootkit , a da ga ne znate.

Glavni razlikovni čimbenik koji rootkit čini posebnim je to što nekome daje kontrolu nad vašim računalom na daljinu bez vašeg znanja. Nakon što netko ima pristup vašem računalu, može vas jednostavno špijunirati ili može napraviti bilo koju promjenu na vašem računalu. Razlog zašto morate isprobati nekoliko različitih skenera je taj što je rootkite teško otkriti.

Za mene, ako uopće posumnjam da je rootkit instaliran na klijentskom računalu, odmah napravim sigurnosnu kopiju podataka i izvršim čistu instalaciju operativnog sustava. Ovo je očito lakše reći nego učiniti i nije nešto što preporučujem svima. Ako niste sigurni imate li rootkit, najbolje je koristiti sljedeće alate u nadi da ćete otkriti rootkit. Ako se ništa ne pojavi pomoću više alata, vjerojatno ste u redu.

Ako se pronađe rootkit, na vama je da odlučite je li uklanjanje bilo uspješno ili biste trebali krenuti s čistog lista. Također je vrijedno spomenuti da je OS X baziran na UNIX -u, mnogi skeneri koriste naredbeni redak i zahtijevaju dosta tehničkog znanja. Budući da je ovaj blog namijenjen početnicima, pokušat ću se držati najjednostavnijih alata koje možete koristiti za otkrivanje rootkita na svom Macu^(Mac) .

Malwarebytes za Mac

Najprikladniji program koji možete koristiti za uklanjanje bilo kakvih rootkita sa svog Maca^(Mac) je Malwarebytes za Mac^{(Malwarebytes for Mac)} . Nije samo za rootkite, već i za bilo koju vrstu Mac virusa ili zlonamjernog softvera.

Možete preuzeti besplatnu probnu verziju i koristiti je do 30 dana. Cijena je 40 USD ako želite kupiti program i dobiti zaštitu u stvarnom vremenu. To je najlakši program za korištenje, ali također vjerojatno neće pronaći rootkit koji je stvarno teško otkriti, pa ako odvojite vrijeme za korištenje alata naredbenog retka u nastavku, dobit ćete puno bolju ideju o tome hoćete li ili nemate rootkit.

Lovac na rootkite

Rootkit Hunter je moj omiljeni alat koji koristim na Macu^(Mac) za pronalaženje rootkita. Relativno je jednostavan za korištenje, a rezultat je vrlo lako razumjeti. Prvo idite na stranicu za preuzimanje^{(download page)} i kliknite na zeleni gumb za preuzimanje.

Samo naprijed i dvaput kliknite na .tar.gz datoteku da je raspakirate. Zatim otvorite prozor terminala^(Terminal) i idite do tog direktorija pomoću naredbe CD.

Kad ste tamo, morate pokrenuti skriptu installer.sh. Da biste to učinili, koristite sljedeću naredbu:

sudo ./installer.sh – install

Od vas će se tražiti da unesete svoju lozinku za pokretanje skripte.

Ako je sve prošlo dobro, trebali biste vidjeti neke retke o pokretanju instalacije i kreiranju direktorija. Na kraju bi trebao pisati Installation Complete .

Prije nego što pokrenete pravi rootkit skener, morate ažurirati datoteku svojstava. Da biste to učinili, morate upisati sljedeću naredbu:

sudo rkhunter – propupd

Trebali biste dobiti kratku poruku koja pokazuje da je ovaj proces uspio. Sada konačno možete pokrenuti stvarnu provjeru rootkita. Da biste to učinili, koristite sljedeću naredbu:

sudo rkhunter – check

Prvo što će učiniti je provjeriti naredbe sustava. Većinom ovdje želimo zelene OK^(OKs) i što manje crvenih upozorenja^(Warnings) . Nakon što je to dovršeno, pritisnite Enter i počet će provjeravati rootkite.

Ovdje želite osigurati da svi kažu Nije pronađeno^{(Not Found)} . Ako se ovdje nešto pojavi crveno, sigurno imate instaliran rootkit. Konačno, izvršit će neke provjere datotečnog sustava, lokalnog hosta i mreže. Na samom kraju, to će vam dati lijep sažetak rezultata.

Ako želite više detalja o upozorenjima, upišite cd /var/log , a zatim upišite sudo cat rkhunter.log da vidite cijelu datoteku dnevnika i objašnjenja za upozorenja. Ne morate se previše brinuti o porukama o naredbama ili datotekama za pokretanje jer su one obično u redu. Glavna stvar je da ništa nije pronađeno prilikom provjere rootkita.

chkrootkit

chkrootkit je besplatan alat koji će lokalno provjeriti ima li znakova rootkita. Trenutno provjerava oko 69 različitih rootkita. Idite na stranicu, kliknite na Preuzmi^(Download) na vrhu, a zatim kliknite na chkrootkit najnoviji izvorni tarball^{(chkrootkit latest Source tarball)} za preuzimanje datoteke tar.gz.

Idite u mapu Preuzimanja na svom ^(Downloads)Macu^(Mac) i dvaput kliknite na datoteku. Ovo će ga dekomprimirati^{(uncompress it)} i stvoriti mapu u Finderu^(Finder) pod nazivom chkrootkit-0.XX . Sada otvorite prozor terminala^(Terminal) i idite na nekomprimirani direktorij.

U osnovi, cd u direktorij Downloads , a zatim u mapu chkrootkit. Kad ste tamo, upišite naredbu za izradu programa:

sudo make sense

Ovdje ne morate koristiti naredbu sudo , ali budući da zahtijeva root privilegije za pokretanje, uključio sam je. Prije nego što naredba počne raditi, mogli biste dobiti poruku koja kaže da se alati za razvojne programere moraju instalirati kako biste mogli koristiti naredbu make .

Samo naprijed i kliknite na Instaliraj^(Install) za preuzimanje i instaliranje naredbi. Kada završite, ponovno pokrenite naredbu. Možda ćete vidjeti hrpu upozorenja, itd., ali jednostavno ih zanemarite. Na kraju ćete upisati sljedeću naredbu za pokretanje programa:

sudo ./chkrootkit

Trebali biste vidjeti neki izlaz kao što je prikazano u nastavku:

Vidjet ćete jednu od tri izlazne poruke: nije zaraženo^{( not infected)} , nije testirano^{(not tested)} i nije pronađeno^{(not found)} . Nije zaraženo znači da nije pronašlo nikakav rootkit potpis, nije pronađeno znači da naredba koju treba testirati nije dostupna, a nije testirana znači da test nije izveden iz raznih razloga.

Nadamo^(Hopefully) se da će sve ispasti nezaraženo, ali ako vidite bilo kakvu infekciju, znači da je vaš stroj ugrožen^{(machine has been compromised)} . Programer programa piše u README datoteci da biste u osnovi trebali ponovno instalirati OS kako biste se riješili rootkita, što je u osnovi ono što i ja predlažem.

ESET Rootkit detektor

ESET Rootkit Detector je još jedan besplatni program koji je puno lakši za korištenje, ali glavni nedostatak je što radi samo na OS X 10.6 , 10.7 i 10.8. S obzirom na to da je OS X trenutno skoro na 10.13, ovaj program većini ljudi neće biti od pomoći.

Nažalost, ne postoji mnogo programa koji provjeravaju rootkite na Macu^(Mac) . Postoji puno više za Windows i to je razumljivo budući da je baza korisnika Windowsa^(Windows) mnogo veća. Međutim, koristeći gore navedene alate, trebali biste dobiti pristojnu ideju o tome je li rootkit instaliran na vašem računalu ili ne. Uživati!

How to Check Your Mac for Rootkits

If your Mac is acting strangely and you suspect a rootkit, then уou’ll need to get to work downloading and scanning with several different tools. It’s worth noting that you cоuld have a rootkit installed and not even know it.

The main distinguishing factor that makes a rootkit special is that it gives someone remote administrator control over your computer without your knowledge. Once someone has access to your computer, they can simply spy on you or they can make any change they want to your computer. The reason why you have to try several different scanners is that rootkits are notoriously hard to detect.

For me, if I even suspect there is a rootkit installed on a client computer, I immediately back up the data and perform a clean install of the operating system. This is obviously easier said than done and it’s not something I recommend everyone do. If you’re not sure if you have a rootkit, it’s best to use the following tools in the hopes of discovering the rootkit. If nothing comes up using multiple tools, you’re probably OK.

If a rootkit is found, it’s up to you to decide whether the removal was successful or whether you should just start from a clean slate. It’s also worth mentioning that since OS X is based on UNIX, a lot of the scanners use the command line and require quite a bit of technical know-how. Since this blog is geared towards beginners, I’m going to try to stick to the easiest tools that you can use to detect rootkits on your Mac.

Malwarebytes for Mac

The most user-friendly program you can use to remove any rootkits from your Mac is Malwarebytes for Mac. It’s not just for rootkits, but also any kind of Mac viruses or malware.

You can download the free trial and use it for up to 30 days. The cost is $40 if you want to purchase the program and get real-time protection. It’s the easiest program to use, but it’s also probably not going to find a really hard-to-detect rootkit, so if you can take the time to use the command line tools below, you’ll get a much better idea of whether or not you have a rootkit.

Rootkit Hunter

Rootkit Hunter is my favorite tool to use on the Mac for finding rootkits. It’s relatively easy to use and the output is very easy to understand. Firstly, go to the download page and click on the green download button.

Go ahead and double-click on the .tar.gz file to unpack it. Then open a Terminal window and navigate to that directory using the CD command.

Once there, you need to run the installer.sh script. To do this, use the following command:

sudo ./installer.sh – install

You’ll be prompted to enter your password to run the script.

If all went well, you should see some lines about the installation starting and directories being created. At the end, it should say Installation Complete.

Before you run the actual rootkit scanner, you have to update the properties file. To do this, you need to type the following command:

sudo rkhunter – propupd

You should get a short message indicating that this process worked. Now you can finally run the actual rootkit check. To do that, use the following command:

sudo rkhunter – check

The first thing it’ll do is check the system commands. For the most part, we want green OKs here and as few red Warnings as possible. Once that is complete, you will press Enter and it’ll start checking for rootkits.

Here you want to ensure all of them say Not Found. If anything comes up red here, you definitely have a rootkit installed. Lastly, it’ll do some checks on the file system, local host, and network. At the very end, it’ll give you a nice summary of the results.

If you want more details about the warnings, type in cd /var/log and then type in sudo cat rkhunter.log to see the entire log file and the explanations for the warnings. You don’t have to worry too much about the commands or startup files messages as those are normally OK. The main thing is that nothing was found when checking for rootkits.

chkrootkit

chkrootkit is a free tool that will locally check for signs of a rootkit. It currently checks for about 69 different rootkits. Go to the site, click on Download at the top and then click on chkrootkit latest Source tarball to download the tar.gz file.

Go to the Downloads folder on your Mac and double-click on the file. This will uncompress it and create a folder in Finder called chkrootkit-0.XX. Now open a Terminal window and navigate to the uncompressed directory.

Basically, you cd into the Downloads directory and then into the chkrootkit folder. Once there, you type in the command to make the program:

sudo make sense

You don’t have to use the sudo command here, but since it requires root privileges to run, I have included it. Before the command will work, you might get a message saying the developer tools need to be installed in order to use the make command.

Go ahead and click on Install to download and install the commands. Once complete, run the command again. You may see a bunch of warnings, etc., but just ignore those. Lastly, you will type the following command to run the program:

sudo ./chkrootkit

You should see some output like what is shown below:

You’ll see one of three output messages: not infected, not tested and not found. Not infected means it didn’t find any rootkit signature, not found means the command to be tested is not available and not tested means the test was not performed due to various reasons.

Hopefully, everything comes out not infected, but if you do see any infection, then your machine has been compromised. The developer of the program writes in the README file that you should basically reinstall the OS in order to get rid of the rootkit, which is basically what I also suggest.

ESET Rootkit Detector

ESET Rootkit Detector is another free program that is much easier to use, but the main downside is that it only works on OS X 10.6, 10.7 and 10.8. Considering OS X is almost to 10.13 right now, this program won’t be helpful for most people.

Unfortunately, there aren’t many programs out there that check for rootkits on Mac. There are a lot more for Windows and that’s understandable since the Windows user base is so much larger. However, using the tools above, you should hopefully get a decent idea of whether or not a rootkit is installed on your machine. Enjoy!

Related posts

• Kako spriječiti da vaš Mac spava

• Kako ponovno mapirati Fn tipke na vašem Macu

• Određene tipke na vašem Macu ne rade ispravno?

• 5 načina da prisilno zatvorite aplikacije na vašem Macu

• Kako stvoriti simbolične veze na vašem Macu

• Kako skenirati pomoću snimanja slike na Macu

• Kako napraviti snimke zaslona na Mac OS-u pomoću tipkovničkih prečaca

• Kako se spojiti na udaljeni ili lokalni poslužitelj na Macu

• Najbolji Mac tipkovnički prečaci za učenje

• APFS vs Mac OS Extended – koji je Mac disk format najbolji?

• Koristite linijski audio ulaz na Mac računalu

• Mac tipkovnički prečaci za kada se vaš Mac zamrzne

• Kako hard resetirati Mac OS X računalo i ponovno instalirati OS

• 5 aplikacija koje će vaš novi Mac podići na sljedeću razinu

• 20 savjeta kako najbolje iskoristiti Finder na Macu

• 10 najboljih besplatnih Mac igara koje možete preuzeti sada

• Korištenje Disk Utilitya za sigurnosno kopiranje vašeg Maca

• Kako skupno preimenovati datoteke na vašem Macu

• Miš stalno nestaje na Macu? 10 stvari koje treba isprobati

• Kako koristiti Continuity Camera na iOS-u i OS X-u