Anonim

Ако вашият Mac се държи странно и подозирате руткит, тогава ще трябва да се заемете с изтегляне и сканиране с няколко различни инструмента. Струва си да се отбележи, че може да имате инсталиран руткит и дори да не го знаете.

Основният отличителен фактор, който прави руткита специален е, че той дава на някой отдалечен администраторски контрол над вашия компютър без ваше знание. След като някой има достъп до вашия компютър, той може просто да ви шпионира или да направи каквато пожелае промяна в компютъра ви. Причината, поради която трябва да опитате няколко различни скенера, е, че руткитите са изключително трудни за откриване.

За мен, ако дори подозирам, че на клиентски компютър има инсталиран руткит, незабавно архивирам данните и извършвам чиста инсталация на операционната система. Това очевидно е по-лесно да се каже, отколкото да се направи и не е нещо, което препоръчвам на всеки. Ако не сте сигурни дали имате руткит, най-добре е да използвате следните инструменти с надеждата да откриете руткит. Ако нищо не се появи с помощта на множество инструменти, вероятно сте добре.

Ако бъде намерен руткит, зависи от вас да решите дали премахването е било успешно или просто трябва да започнете от чиста плоча. Също така си струва да се спомене, че тъй като OS X е базирана на UNIX, много от скенерите използват командния ред и изискват доста техническо ноу-хау. Тъй като този блог е насочен към начинаещи, ще се опитам да се придържам към най-лесните инструменти, които можете да използвате за откриване на руткитове на вашия Mac.

Malwarebytes за Mac

Най-лесната за потребителя програма, която можете да използвате, за да премахнете руткитове от вашия Mac, е Malwarebytes за Mac. Не е само за руткитове, но и за всякакъв вид Mac вируси или зловреден софтуер.

Можете да изтеглите безплатната пробна версия и да я използвате до 30 дни. Цената е $40, ако искате да закупите програмата и да получите защита в реално време. Това е най-лесната програма за използване, но също така вероятно няма да намери наистина труден за откриване руткит, така че ако можете да отделите време да използвате инструментите на командния ред по-долу, ще получите много по-добра представа дали или нямате руткит.

Rootkit Hunter

Rootkit Hunter е любимият ми инструмент за използване на Mac за намиране на руткитове. Той е сравнително лесен за използване и изходът е много лесен за разбиране. Първо отидете на страницата за изтегляне и щракнете върху зеления бутон за изтегляне.

Продължете и щракнете двукратно върху файла .tar.gz, за да го разопаковате. След това отворете прозорец на терминал и отидете до тази директория с помощта на командата CD.

Когато сте там, трябва да стартирате скрипта installer.sh. За да направите това, използвайте следната команда:

sudo ./installer.sh – инсталиране

Ще бъдете подканени да въведете паролата си, за да стартирате скрипта.

Ако всичко е минало добре, трябва да видите няколко реда за стартиране на инсталацията и създаване на директории. В края трябва да пише Инсталацията е завършена.

Преди да стартирате действителния руткит скенер, трябва да актуализирате файла със свойствата. За да направите това, трябва да въведете следната команда:

sudo rkhunter – propupd

Трябва да получите кратко съобщение, показващо, че този процес е работил. Сега най-накрая можете да стартирате действителната руткит проверка. За да направите това, използвайте следната команда:

sudo rkhunter – проверка

Първото нещо, което ще направи, е да провери системните команди. В по-голямата си част искаме зелено OKs тук и възможно най-малко червени Предупреждения. След като това приключи, ще натиснете Enter и ще започне проверка за руткитове.

Тук искате да сте сигурни, че всички казват Не е намерен Ако нещо се появи червено тук, определено имате инсталиран руткит. И накрая, ще направи някои проверки на файловата система, локалния хост и мрежата.В самия край ще ви даде хубаво обобщение на резултатите.

Ако искате повече подробности за предупрежденията, въведете cd /var/log и след това въведете sudo cat rkhunter.log, за да видите целия лог файл и обясненията за предупрежденията. Не е нужно да се притеснявате твърде много за командите или съобщенията за стартиращи файлове, тъй като те обикновено са ОК. Основното нещо е, че нищо не беше намерено при проверка за руткитове.

chkrootkit

chkrootkit е безплатен инструмент, който ще проверява локално за признаци на руткит. В момента той проверява за около 69 различни руткита. Отидете на сайта, щракнете върху Изтегляне в горната част и след това щракнете върху chkrootkit най-новия източник tarball, за да изтеглите файла tar.gz.

Отидете в папката Downloads на вашия Mac и щракнете двукратно върху файла. Това ще го декомпресира и ще създаде папка във Finder, наречена chkrootkit-0.XX. Сега отворете прозорец на терминал и отидете до некомпресираната директория.

По принцип, вие влизате в директорията Downloads и след това в папката chkrootkit. След като сте там, въвеждате командата, за да направите програмата:

sudo има смисъл

Не е нужно да използвате командата sudo тук, но тъй като тя изисква root привилегии, за да работи, аз съм я включил. Преди командата да работи, може да получите съобщение, че инструментите за разработчици трябва да бъдат инсталирани, за да използвате командата make.

Продължете и щракнете върху Инсталиране, за да изтеглите и инсталирате командите. След като приключите, изпълнете командата отново. Може да видите куп предупреждения и т.н., но просто ги игнорирайте. И накрая, ще въведете следната команда, за да стартирате програмата:

sudo ./chkrootkit

Трябва да видите изход като това, което е показано по-долу:

Ще видите едно от трите изходни съобщения: не е заразен, не е тестван и not found Not infected означава, че не е намерил никакъв rootkit подпис, not found означава, че командата за тестване не е налична и не е тествана означава, че тестът не е извършен поради различни причини.

Надяваме се, че всичко излиза незаразено, но ако видите някаква инфекция, значи вашата машина е била компрометирана. Разработчикът на програмата пише във файла README, че трябва основно да преинсталирате операционната система, за да се отървете от руткита, което в общи линии предлагам и аз.

ESET Rootkit Detector

ESET Rootkit Detector е друга безплатна програма, която е много по-лесна за използване, но основният недостатък е, че работи само на OS X 10.6, 10.7 и 10.8. Като се има предвид, че OS X е почти до 10.13 в момента, тази програма няма да е полезна за повечето хора.

За съжаление, няма много програми, които проверяват за руткитове на Mac. Има много повече за Windows и това е разбираемо, тъй като потребителската база на Windows е много по-голяма. Въпреки това, като използвате инструментите по-горе, трябва да се надяваме, че ще получите прилична представа дали на вашата машина е инсталиран руткит или не. Наслади се!

Как да проверите вашия Mac за руткитове