Ако вашият Mac се държи странно и подозирате, че има руткит, тогава ще трябва да се заемете с изтеглянето и сканирането с няколко различни инструмента. Струва си да се отбележи, че може да имате инсталиран руткит^(rootkit) и дори да не го знаете.

Основният отличителен фактор, който прави руткит специален, е, че той дава на някого отдалечен администраторски контрол над вашия компютър без ваше знание. След като някой има достъп до вашия компютър, той може просто да ви шпионира или може да направи каквато и да е промяна в компютъра ви. Причината, поради която трябва да изпробвате няколко различни скенера, е, че руткитите са изключително трудни за откриване.

За мен, ако дори подозирам, че на клиентски компютър има инсталиран руткит, веднага архивирам данните и извършвам чиста инсталация на операционната система. Очевидно това е по-лесно да се каже, отколкото да се направи и не е нещо, което препоръчвам на всеки да направи. Ако не сте сигурни дали имате руткит, най-добре е да използвате следните инструменти с надеждата да откриете руткита. Ако нищо не се получи с помощта на множество инструменти, вероятно сте добре.

Ако бъде намерен руткит, от вас зависи да решите дали премахването е било успешно или просто трябва да започнете от чист лист. Също така си струва да се спомене, че тъй като OS X е базирана на UNIX , много от скенерите използват командния ред и изискват доста малко техническо ноу-хау. Тъй като този блог е насочен към начинаещи, ще се опитам да се придържам към най-лесните инструменти, които можете да използвате за откриване на руткити на вашия Mac .

Malwarebytes за Mac

Най-удобната за потребителя програма, която можете да използвате за премахване на руткити от вашия Mac , е Malwarebytes for Mac . Не е само за руткити, но и за всякакъв вид Mac вируси или зловреден софтуер.

Можете да изтеглите безплатната пробна версия и да я използвате до 30 дни. Цената е $40, ако искате да закупите програмата и да получите защита в реално време. Това е най-лесната програма за използване, но също така вероятно няма да намери наистина труден за откриване руткит, така че ако отделите време да използвате инструментите на командния ред по-долу, ще получите много по-добра представа дали или не имате руткит.

Ловец на руткит

Rootkit Hunter е любимият ми инструмент, който да използвам на Mac за намиране на руткити. Той е относително лесен за използване и изходът е много лесен за разбиране. Първо отидете на страницата за изтегляне^{(download page)} и щракнете върху зеления бутон за изтегляне.

Продължете и щракнете двукратно върху файла .tar.gz , за да го разопаковате. След това отворете прозорец на терминала^(Terminal) и отидете до тази директория с помощта на командата CD.

След като сте там, трябва да стартирате скрипта installer.sh. За да направите това, използвайте следната команда:

sudo ./installer.sh – install

Ще бъдете подканени да въведете паролата си, за да стартирате скрипта.

Ако всичко е минало добре, трябва да видите някои редове за стартиране на инсталацията и създаване на директории. В края трябва да пише Installation Complete .

Преди да стартирате действителния руткит скенер, трябва да актуализирате файла със свойства. За да направите това, трябва да въведете следната команда:

sudo rkhunter – propupd

Трябва да получите кратко съобщение, което показва, че този процес е работил. Сега най-накрая можете да стартирате действителната проверка на руткит. За да направите това, използвайте следната команда:

sudo rkhunter – check

Първото нещо, което ще направи, е да провери системните команди. В по-голямата си част искаме зелени ОК^(OKs) тук и възможно най-малко червени предупреждения^(Warnings) . След като това приключи, ще натиснете Enter и той ще започне да проверява за руткити.

Тук искате да сте сигурни, че всички те казват Не е намерено^{(Not Found)} . Ако нещо се появи червено тук, определено имате инсталиран руткит. И накрая, той ще направи някои проверки на файловата система, локалния хост и мрежата. В самия край ще ви даде хубаво обобщение на резултатите.

Ако искате повече подробности за предупрежденията, въведете cd /var/log и след това въведете sudo cat rkhunter.log , за да видите целия регистрационен файл и обясненията за предупрежденията. Не е нужно да се тревожите твърде много за съобщенията за команди или стартиращи файлове, тъй като те обикновено са ОК. Основното нещо е, че нищо не е открито при проверка за руткити.

chkrootkit

chkrootkit е безплатен инструмент, който ще проверява локално за признаци на руткит. В момента той проверява за около 69 различни руткита. Отидете на сайта, щракнете върху Изтегляне^(Download) в горната част и след това щракнете върху chkrootkit най-новия tarball източник^{(chkrootkit latest Source tarball)} , за да изтеглите файла tar.gz.

Отидете в папката Downloads на вашия ^(Downloads)Mac и щракнете двукратно върху файла. Това ще го декомпресира^{(uncompress it)} и ще създаде папка във Finder , наречена chkrootkit-0.XX . Сега отворете прозорец на терминала^(Terminal) и отидете до некомпресираната директория.

По принцип вие CD в директорията Downloads и след това в папката chkrootkit. Веднъж там, въведете командата, за да направите програмата:

sudo make sense

Тук не е нужно да използвате командата sudo , но тъй като тя изисква root привилегии за изпълнение, аз я включих. Преди командата да работи, може да получите съобщение, че инструментите за разработчици трябва да бъдат инсталирани, за да използвате командата make .

Продължете и щракнете върху Инсталиране^(Install) , за да изтеглите и инсталирате командите. След като приключите, изпълнете командата отново. Може да видите куп предупреждения и т.н., но просто ги игнорирайте. И накрая, ще въведете следната команда, за да стартирате програмата:

sudo ./chkrootkit

Трябва да видите някакъв изход като това, което е показано по-долу:

Ще видите едно от трите изходни съобщения: не е заразен^{( not infected)} , не е тестван^{(not tested)} и не е намерен^{(not found)} . Не е заразен означава, че не е намерил руткит подпис, не е намерен означава, че командата, която трябва да бъде тествана, не е налична и не е тествана означава, че тестът не е извършен поради различни причини.

Да се ​​надяваме^(Hopefully) , че всичко не е заразено, но ако видите някаква инфекция, значи машината ви е компрометирана^{(machine has been compromised)} . Разработчикът на програмата пише във файла README , че по принцип трябва да преинсталирате операционната система, за да се отървете от руткита, което по същество също предлагам.

ESET Rootkit Detector

ESET Rootkit Detector е друга безплатна програма, която е много по-лесна за използване, но основният недостатък е, че работи само на OS X 10.6 , 10.7 и 10.8. Като се има предвид, че OS X е почти до 10.13 в момента, тази програма няма да бъде полезна за повечето хора.

За съжаление, няма много програми, които проверяват за руткити на Mac . Има много повече за Windows и това е разбираемо, тъй като потребителската база на Windows е много по-голяма. Въпреки това, като използвате инструментите по-горе, трябва да се надяваме, че имате прилична представа дали на вашата машина е инсталиран руткит или не. Наслади се!

How to Check Your Mac for Rootkits

If your Mac is acting strangely and you suspect a rootkit, then you’ll neеd to get to work downloading and scanning with several different tools. It’s worth noting that you соuld have a rootkit installed and not even know it.

The main distinguishing factor that makes a rootkit special is that it gives someone remote administrator control over your computer without your knowledge. Once someone has access to your computer, they can simply spy on you or they can make any change they want to your computer. The reason why you have to try several different scanners is that rootkits are notoriously hard to detect.

For me, if I even suspect there is a rootkit installed on a client computer, I immediately back up the data and perform a clean install of the operating system. This is obviously easier said than done and it’s not something I recommend everyone do. If you’re not sure if you have a rootkit, it’s best to use the following tools in the hopes of discovering the rootkit. If nothing comes up using multiple tools, you’re probably OK.

If a rootkit is found, it’s up to you to decide whether the removal was successful or whether you should just start from a clean slate. It’s also worth mentioning that since OS X is based on UNIX, a lot of the scanners use the command line and require quite a bit of technical know-how. Since this blog is geared towards beginners, I’m going to try to stick to the easiest tools that you can use to detect rootkits on your Mac.

Malwarebytes for Mac

The most user-friendly program you can use to remove any rootkits from your Mac is Malwarebytes for Mac. It’s not just for rootkits, but also any kind of Mac viruses or malware.

You can download the free trial and use it for up to 30 days. The cost is $40 if you want to purchase the program and get real-time protection. It’s the easiest program to use, but it’s also probably not going to find a really hard-to-detect rootkit, so if you can take the time to use the command line tools below, you’ll get a much better idea of whether or not you have a rootkit.

Rootkit Hunter

Rootkit Hunter is my favorite tool to use on the Mac for finding rootkits. It’s relatively easy to use and the output is very easy to understand. Firstly, go to the download page and click on the green download button.

Go ahead and double-click on the .tar.gz file to unpack it. Then open a Terminal window and navigate to that directory using the CD command.

Once there, you need to run the installer.sh script. To do this, use the following command:

sudo ./installer.sh – install

You’ll be prompted to enter your password to run the script.

If all went well, you should see some lines about the installation starting and directories being created. At the end, it should say Installation Complete.

Before you run the actual rootkit scanner, you have to update the properties file. To do this, you need to type the following command:

sudo rkhunter – propupd

You should get a short message indicating that this process worked. Now you can finally run the actual rootkit check. To do that, use the following command:

sudo rkhunter – check

The first thing it’ll do is check the system commands. For the most part, we want green OKs here and as few red Warnings as possible. Once that is complete, you will press Enter and it’ll start checking for rootkits.

Here you want to ensure all of them say Not Found. If anything comes up red here, you definitely have a rootkit installed. Lastly, it’ll do some checks on the file system, local host, and network. At the very end, it’ll give you a nice summary of the results.

If you want more details about the warnings, type in cd /var/log and then type in sudo cat rkhunter.log to see the entire log file and the explanations for the warnings. You don’t have to worry too much about the commands or startup files messages as those are normally OK. The main thing is that nothing was found when checking for rootkits.

chkrootkit

chkrootkit is a free tool that will locally check for signs of a rootkit. It currently checks for about 69 different rootkits. Go to the site, click on Download at the top and then click on chkrootkit latest Source tarball to download the tar.gz file.

Go to the Downloads folder on your Mac and double-click on the file. This will uncompress it and create a folder in Finder called chkrootkit-0.XX. Now open a Terminal window and navigate to the uncompressed directory.

Basically, you cd into the Downloads directory and then into the chkrootkit folder. Once there, you type in the command to make the program:

sudo make sense

You don’t have to use the sudo command here, but since it requires root privileges to run, I have included it. Before the command will work, you might get a message saying the developer tools need to be installed in order to use the make command.

Go ahead and click on Install to download and install the commands. Once complete, run the command again. You may see a bunch of warnings, etc., but just ignore those. Lastly, you will type the following command to run the program:

sudo ./chkrootkit

You should see some output like what is shown below:

You’ll see one of three output messages: not infected, not tested and not found. Not infected means it didn’t find any rootkit signature, not found means the command to be tested is not available and not tested means the test was not performed due to various reasons.

Hopefully, everything comes out not infected, but if you do see any infection, then your machine has been compromised. The developer of the program writes in the README file that you should basically reinstall the OS in order to get rid of the rootkit, which is basically what I also suggest.

ESET Rootkit Detector

ESET Rootkit Detector is another free program that is much easier to use, but the main downside is that it only works on OS X 10.6, 10.7 and 10.8. Considering OS X is almost to 10.13 right now, this program won’t be helpful for most people.

Unfortunately, there aren’t many programs out there that check for rootkits on Mac. There are a lot more for Windows and that’s understandable since the Windows user base is so much larger. However, using the tools above, you should hopefully get a decent idea of whether or not a rootkit is installed on your machine. Enjoy!

Related posts

• Как да предотвратите заспиването на вашия Mac

• Как да пренастроите клавишите Fn на вашия Mac

• Някои клавиши на вашия Mac не работят правилно?

• 5 начина за принудително отказване от приложения на вашия Mac

• Как да създадете символни връзки на вашия Mac

• Архивирайте вашия Mac с помощта на Time Machine

• Използване на Disk Utility за архивиране на вашия Mac

• Как да печатате черно-бяло на Mac

• Какво е друго място за съхранение на Mac и как да го почистите

• 4 начина за деинсталиране на приложения на Mac

• Най-добрите клавишни комбинации за Mac за учене

• Как да се свържете с отдалечен или локален сървър на Mac

• 10 най-добри безплатни игри за Mac, които можете да изтеглите сега

• Как да актуализирате Mac OS X и Mac приложения от терминал

• Промяна или подправяне на MAC адрес в Windows или OS X

• Как да правите екранни снимки на Mac OS с клавишни комбинации

• Как да замените и обедините файлове на Mac

• Използвайте аудио входа Line In на Mac

• Вижте запазените пароли за Wi-Fi (WPA, WEP) на OS X

• Как да активирате заключване за активиране на вашия Mac компютър