Kako provjeriti ima li na vašem Macu rootkita

Ako se vaš Mac ponaša čudno i sumnjate na rootkit, morat ćete preuzeti i skenirati s nekoliko različitih alata. Vrijedi napomenuti da biste mogli imati instaliran rootkit , a da ga ne znate.

Glavni razlikovni čimbenik koji rootkit čini posebnim je to što nekome daje kontrolu nad vašim računalom na daljinu bez vašeg znanja. Nakon što netko ima pristup vašem računalu, može vas jednostavno špijunirati ili može napraviti bilo koju promjenu na vašem računalu. Razlog zašto morate isprobati nekoliko različitih skenera je taj što je rootkite teško otkriti.

Umjetnički prikaz Rootkita

Za mene, ako uopće posumnjam da je rootkit instaliran na klijentskom računalu, odmah napravim sigurnosnu kopiju podataka i izvršim čistu instalaciju operativnog sustava. Ovo je očito lakše reći nego učiniti i nije nešto što preporučujem svima. Ako niste sigurni imate li rootkit, najbolje je koristiti sljedeće alate u nadi da ćete otkriti rootkit. Ako se ništa ne pojavi pomoću više alata, vjerojatno ste u redu.

Ako se pronađe rootkit, na vama je da odlučite je li uklanjanje bilo uspješno ili biste trebali krenuti s čistog lista. Također je vrijedno spomenuti da je OS X baziran na UNIX -u, mnogi skeneri koriste naredbeni redak i zahtijevaju dosta tehničkog znanja. Budući da je ovaj blog namijenjen početnicima, pokušat ću se držati najjednostavnijih alata koje možete koristiti za otkrivanje rootkita na svom Macu(Mac) .

Malwarebytes za Mac

Najprikladniji program koji možete koristiti za uklanjanje bilo kakvih rootkita sa svog Maca(Mac) je Malwarebytes za Mac(Malwarebytes for Mac) . Nije samo za rootkite, već i za bilo koju vrstu Mac virusa ili zlonamjernog softvera.

Malwarebytes prozor

Možete preuzeti besplatnu probnu verziju i koristiti je do 30 dana. Cijena je 40 USD ako želite kupiti program i dobiti zaštitu u stvarnom vremenu. To je najlakši program za korištenje, ali također vjerojatno neće pronaći rootkit koji je stvarno teško otkriti, pa ako odvojite vrijeme za korištenje alata naredbenog retka u nastavku, dobit ćete puno bolju ideju o tome hoćete li ili nemate rootkit.

Lovac na rootkite

Rootkit Hunter je moj omiljeni alat koji koristim na Macu(Mac) za pronalaženje rootkita. Relativno je jednostavan za korištenje, a rezultat je vrlo lako razumjeti. Prvo idite na stranicu za preuzimanje(download page) i kliknite na zeleni gumb za preuzimanje.

Prozor Rootkit Hunter

Samo naprijed i dvaput kliknite na .tar.gz datoteku da je raspakirate. Zatim otvorite prozor terminala(Terminal) i idite do tog direktorija pomoću naredbe CD.

Dođite do direktorija pomoću naredbe CD

Kad ste tamo, morate pokrenuti skriptu installer.sh. Da biste to učinili, koristite sljedeću naredbu:

sudo ./installer.sh – install

Od vas će se tražiti da unesete svoju lozinku za pokretanje skripte.

Unesite lozinku na upit

Ako je sve prošlo dobro, trebali biste vidjeti neke retke o pokretanju instalacije i kreiranju direktorija. Na kraju bi trebao pisati Installation Complete .

Početak instalacije

Prije nego što pokrenete pravi rootkit skener, morate ažurirati datoteku svojstava. Da biste to učinili, morate upisati sljedeću naredbu:

sudo rkhunter – propupd

Unesite naredbu – propupd

Trebali biste dobiti kratku poruku koja pokazuje da je ovaj proces uspio. Sada konačno možete pokrenuti stvarnu provjeru rootkita. Da biste to učinili, koristite sljedeću naredbu:

sudo rkhunter – check

Unesite naredbu – provjerite

Prvo što će učiniti je provjeriti naredbe sustava. Većinom ovdje želimo zelene OK(OKs) i što manje crvenih upozorenja(Warnings) . Nakon što je to dovršeno, pritisnite Enter i počet će provjeravati rootkite.

Prozor za provjeru rutkita sa zelenim Nije pronađen

Ovdje želite osigurati da svi kažu Nije pronađeno(Not Found) . Ako se ovdje nešto pojavi crveno, sigurno imate instaliran rootkit. Konačno, izvršit će neke provjere datotečnog sustava, lokalnog hosta i mreže. Na samom kraju, to će vam dati lijep sažetak rezultata.

Sažetak provjera sustava

Ako želite više detalja o upozorenjima, upišite cd /var/log , a zatim upišite sudo cat rkhunter.log da vidite cijelu datoteku dnevnika i objašnjenja za upozorenja. Ne morate se previše brinuti o porukama o naredbama ili datotekama za pokretanje jer su one obično u redu. Glavna stvar je da ništa nije pronađeno prilikom provjere rootkita.

chkrootkit

chkrootkit je besplatan alat koji će lokalno provjeriti ima li znakova rootkita. Trenutno provjerava oko 69 različitih rootkita. Idite na stranicu, kliknite na Preuzmi(Download) na vrhu, a zatim kliknite na chkrootkit najnoviji izvorni tarball(chkrootkit latest Source tarball) za preuzimanje datoteke tar.gz.

prozor za preuzimanje chrootkita

Idite u mapu Preuzimanja na svom (Downloads)Macu(Mac) i dvaput kliknite na datoteku. Ovo će ga dekomprimirati(uncompress it) i stvoriti mapu u Finderu(Finder) pod nazivom chkrootkit-0.XX . Sada otvorite prozor terminala(Terminal) i idite na nekomprimirani direktorij.

chrootkit direktorij

U osnovi, cd u direktorij Downloads , a zatim u mapu chkrootkit. Kad ste tamo, upišite naredbu za izradu programa:

sudo make sense

Ovdje ne morate koristiti naredbu sudo , ali budući da zahtijeva root privilegije za pokretanje, uključio sam je. Prije nego što naredba počne raditi, mogli biste dobiti poruku koja kaže da se alati za razvojne programere moraju instalirati kako biste mogli koristiti naredbu make .

Dijalog za instaliranje alata za razvojne programere

Samo naprijed i kliknite na Instaliraj(Install) za preuzimanje i instaliranje naredbi. Kada završite, ponovno pokrenite naredbu. Možda ćete vidjeti hrpu upozorenja, itd., ali jednostavno ih zanemarite. Na kraju ćete upisati sljedeću naredbu za pokretanje programa:

sudo ./chkrootkit

Trebali biste vidjeti neki izlaz kao što je prikazano u nastavku:

izlaz chrootkita

Vidjet ćete jednu od tri izlazne poruke: nije zaraženo( not infected) , nije testirano(not tested) i nije pronađeno(not found) . Nije zaraženo znači da nije pronašlo nikakav rootkit potpis, nije pronađeno znači da naredba koju treba testirati nije dostupna, a nije testirana znači da test nije izveden iz raznih razloga.

Nadamo(Hopefully) se da će sve ispasti nezaraženo, ali ako vidite bilo kakvu infekciju, znači da je vaš stroj ugrožen(machine has been compromised) . Programer programa piše u README datoteci da biste u osnovi trebali ponovno instalirati OS kako biste se riješili rootkita, što je u osnovi ono što i ja predlažem.

ESET Rootkit detektor

ESET Rootkit Detector je još jedan besplatni program koji je puno lakši za korištenje, ali glavni nedostatak je što radi samo na OS X 10.6 , 10.7 i 10.8. S obzirom na to da je OS X trenutno skoro na 10.13, ovaj program većini ljudi neće biti od pomoći.

Prozor za preuzimanje programa ESET Rootkit Detector

Nažalost, ne postoji mnogo programa koji provjeravaju rootkite na Macu(Mac) . Postoji puno više za Windows i to je razumljivo budući da je baza korisnika Windowsa(Windows) mnogo veća. Međutim, koristeći gore navedene alate, trebali biste dobiti pristojnu ideju o tome je li rootkit instaliran na vašem računalu ili ne. Uživati!



About the author

Bok tamo! Računalni sam programer s preko 10 godina iskustva u tom području. Specijaliziran sam za razvoj i održavanje softvera za pametne telefone i Windows ažuriranja. Osim toga, nudim svoje usluge kao mjesečni predstavnik podrške klijentima e-pošte.



Related posts