Ha a Mac gépe furcsán viselkedik, és rootkitre gyanakszik, akkor több különböző eszközzel kell letöltenie és beolvasnia. Érdemes megjegyezni, hogy lehet, hogy telepítve van egy rootkit, de még csak nem is tudod.
A fő megkülönböztető tényező, amely a rootkitet különlegessé teszi, az, hogy valaki távoli rendszergazdát biztosít a számítógépe felett az Ön tudta nélkül. Ha valaki hozzáfér az Ön számítógépéhez, egyszerűen kémkedhet utána, vagy bármilyen változtatást végrehajthat a számítógépén. Az ok, amiért több különböző szkennert kell kipróbálnia, az az, hogy a rootkiteket köztudottan nehéz felismerni.
Számomra, ha gyanítom, hogy rootkit van telepítve egy kliens számítógépre, azonnal biztonsági másolatot készítek az adatokról, és végrehajtom az operációs rendszer tiszta telepítését. Ezt nyilvánvalóan könnyebb mondani, mint megtenni, és nem ajánlom mindenkinek. Ha nem biztos abban, hogy rendelkezik-e rootkittel, a legjobb, ha a következő eszközöket használja a rootkit felfedezésének reményében. Ha több eszköz használatával semmi sem jön össze, valószínűleg minden rendben.
Ha rootkitet talál, akkor Ön dönti el, hogy az eltávolítás sikeres volt-e, vagy csak tiszta lappal kell kezdenie. Azt is érdemes megemlíteni, hogy mivel az OS X UNIX-on alapul, sok szkenner használja a parancssort, és nem kevés technikai know-how-t igényel. Mivel ez a blog kezdőknek szól, megpróbálok ragaszkodni a legegyszerűbb eszközökhöz, amelyek segítségével észlelheti a rootkiteket a Mac-en.
Malwarebytes for Mac
A Malwarebytes for Mac a legfelhasználóbarátabb program, amellyel eltávolíthatja a rootkitet a Mac-ről. Nem csak a rootkitek, hanem bármilyen Mac vírus vagy rosszindulatú program ellen is használható.
Letöltheti az ingyenes próbaverziót, és legfeljebb 30 napig használhatja. A költség 40 dollár, ha meg szeretné vásárolni a programot, és valós idejű védelmet szeretne kapni. Ez a legkönnyebben használható program, de valószínűleg nem fog igazán nehezen észlelhető rootkitet találni, így ha időt szán az alábbi parancssori eszközök használatára, sokkal jobb képet kap arról, hogy nincs rootkited.
Rootkit Hunter
A Rootkit Hunter a kedvenc eszközöm a Mac rendszeren a rootkitek keresésére. Használata viszonylag egyszerű, a kimenet pedig nagyon könnyen érthető. Először lépjen a letöltési oldalra, és kattintson a zöld letöltés gombra.
Menjen, és kattintson duplán a .tar.gz fájlra a kicsomagoláshoz. Ezután nyisson meg egy terminálablakot, és navigáljon a könyvtárba a CD paranccsal.
Amint ott van, le kell futtatnia az installer.sh szkriptet. Ehhez használja a következő parancsot:
sudo ./installer.sh – telepítés
A rendszer megkéri a jelszó megadására a szkript futtatásához.
Ha minden jól ment, látnia kell néhány sort a telepítés indulásáról és a létrehozás alatt álló könyvtárakról. A végén a következő legyen: Installation Complete.
A tényleges rootkit szkenner futtatása előtt frissítenie kell a tulajdonságfájlt. Ehhez a következő parancsot kell begépelni:
sudo rkhunter – propupd
Egy rövid üzenetet kell kapnia, amely jelzi, hogy ez a folyamat működött. Most végre futtathatja a tényleges rootkit ellenőrzést. Ehhez használja a következő parancsot:
sudo rkhunter – ellenőrizze
Az első dolga, hogy ellenőrizze a rendszerparancsokat. Leginkább zöldre akarunk,OKSitt és kevés pirosfigyelmeztetésekA lehető legszebb. Ha ez kész, nyomja meg az Enter billentyűt, és a rendszer elkezdi a rootkitek keresését.
Itt azt szeretné elérni, hogy mindegyik azt mondja, hogy Not Found Ha valami pirosan jelenik meg, akkor feltétlenül telepítve van egy rootkit. Végül néhány ellenőrzést végez a fájlrendszeren, a helyi gazdagépen és a hálózaton.A legvégén szép összefoglalót ad az eredményekről.
Ha további részleteket szeretne a figyelmeztetésekről, írja be: cd /var/log, majd írja be: sudo cat rkhunter.log a teljes naplófájl és a figyelmeztetések magyarázatának megtekintéséhez. Nem kell túl sokat aggódnia a parancsok vagy az indítófájlok üzenetei miatt, mivel ezek általában rendben vannak. A lényeg az, hogy a rootkitek keresése során nem találtunk semmit.
chkrootkit
Achkrootkit egy ingyenes eszköz, amely helyileg ellenőrzi a rootkit jeleit. Jelenleg körülbelül 69 különböző rootkitet keres. Nyissa meg a webhelyet, kattintson a tetején a Letöltés gombra, majd kattintson a chkrootkit legújabb forráskódú tarball elemére a tar.gz fájl letöltéséhez.
Lépjen a Letöltések mappába Mac számítógépén, és kattintson duplán a fájlra. Ez kicsomagolja, és létrehoz egy mappát a Finderben chkrootkit-0.XX. Most nyisson meg egy terminálablakot, és keresse meg a tömörítetlen könyvtárat.
Alapvetően a Letöltések könyvtárba, majd a chkrootkit mappába írja be a cd-t. Ha ott van, írja be a parancsot a program létrehozásához:
a sudo értelmes
Itt nem kell a sudo parancsot használnod, de mivel a futtatásához root jogosultságok szükségesek, beépítettem. Mielőtt a parancs működne, egy üzenetet kaphat, amely szerint a make parancs használatához telepíteni kell a fejlesztői eszközöket.
Lépjen tovább, és kattintson az Install gombra a parancsok letöltéséhez és telepítéséhez. Ha elkészült, futtassa újra a parancsot. Láthat egy csomó figyelmeztetést stb., de ezeket figyelmen kívül hagyja. Végül írja be a következő parancsot a program futtatásához:
sudo ./chkrootkit
Az alábbihoz hasonló kimenetet kell látnia:
A három kimeneti üzenet egyikét fogja látni: nem fertőzött, not tested és not found Nem fertőzött azt jelenti, hogy nem talált rootkit aláírást, a not found azt jelenti, hogy a tesztelendő parancs nem elérhető és nincs tesztelve azt jelenti, hogy a tesztet különböző okok miatt nem végezték el.
Remélhetőleg minden nem fertőzött lesz, de ha fertőzést lát, akkor a gépe veszélybe került. A program fejlesztője a README fájlba írja, hogy alapvetően újra kell telepíteni az operációs rendszert, hogy megszabaduljon a rootkittől, amit alapvetően én is javaslok.
ESET Rootkit Detector
Az ESET Rootkit Detector egy másik ingyenes program, amely sokkal könnyebben használható, de a fő hátránya, hogy csak OS X 10.6, 10.7 és 10.8 operációs rendszeren működik. Tekintettel arra, hogy az OS X jelenleg majdnem eléri a 10.13-at, ez a program a legtöbb ember számára nem lesz hasznos.
Sajnos nem sok olyan program létezik, amely rootkitet keres Macen. Sokkal több van a Windows számára, és ez érthető, mivel a Windows felhasználói bázisa sokkal nagyobb. A fenti eszközök használatával azonban remélhetőleg megfelelő képet kaphat arról, hogy telepítve van-e rootkit a gépére. Élvezd!