Αν το Mac σας ενεργεί παράξενα και υποπτεύεστε ότι υπάρχει rootkit, τότε θα πρέπει να ξεκινήσετε τη λήψη και τη σάρωση με πολλά διαφορετικά εργαλεία. Αξίζει να σημειωθεί ότι θα μπορούσατε να έχετε εγκαταστήσει ένα rootkit και να μην το γνωρίζετε καν.
Ο κύριος παράγοντας διάκρισης που κάνει ένα rootkit ξεχωριστό είναι ότι δίνει σε κάποιον διαχειριστή τον έλεγχο του υπολογιστή σας από απόσταση χωρίς να το γνωρίζετε. Μόλις κάποιος έχει πρόσβαση στον υπολογιστή σας, μπορεί απλώς να σας κατασκοπεύσει ή να κάνει οποιαδήποτε αλλαγή θέλει στον υπολογιστή σας. Ο λόγος για τον οποίο πρέπει να δοκιμάσετε πολλούς διαφορετικούς σαρωτές είναι ότι τα rootkit είναι εμφανώς δύσκολο να εντοπιστούν.
Για μένα, αν υποψιάζομαι ότι υπάρχει εγκατεστημένο rootkit σε υπολογιστή-πελάτη, δημιουργώ αμέσως αντίγραφα ασφαλείας των δεδομένων και εκτελώ μια καθαρή εγκατάσταση του λειτουργικού συστήματος. Αυτό είναι προφανώς πιο εύκολο να ειπωθεί παρά να γίνει και δεν είναι κάτι που συνιστώ σε όλους να κάνουν. Εάν δεν είστε σίγουροι αν έχετε rootkit, είναι καλύτερο να χρησιμοποιήσετε τα παρακάτω εργαλεία με την ελπίδα να ανακαλύψετε το rootkit. Εάν δεν προκύψει τίποτα χρησιμοποιώντας πολλά εργαλεία, μάλλον είστε εντάξει.
Αν βρεθεί ένα rootkit, εναπόκειται σε εσάς να αποφασίσετε εάν η αφαίρεση ήταν επιτυχής ή αν θα πρέπει απλώς να ξεκινήσετε από μια καθαρή σελίδα. Αξίζει επίσης να αναφέρουμε ότι δεδομένου ότι το OS X βασίζεται στο UNIX, πολλοί από τους σαρωτές χρησιμοποιούν τη γραμμή εντολών και απαιτούν αρκετή τεχνική τεχνογνωσία. Δεδομένου ότι αυτό το ιστολόγιο απευθύνεται σε αρχάριους, θα προσπαθήσω να παραμείνω στα πιο εύκολα εργαλεία που μπορείτε να χρησιμοποιήσετε για να εντοπίσετε rootkits στο Mac σας.
Malwarebytes για Mac
Το πιο φιλικό προς το χρήστη πρόγραμμα που μπορείτε να χρησιμοποιήσετε για να αφαιρέσετε τυχόν rootkit από το Mac σας είναι το Malwarebytes για Mac. Δεν είναι μόνο για rootkits, αλλά και για κάθε είδους ιούς Mac ή κακόβουλο λογισμικό.
Μπορείτε να κατεβάσετε τη δωρεάν δοκιμή και να τη χρησιμοποιήσετε για έως και 30 ημέρες. Το κόστος είναι 40 $ εάν θέλετε να αγοράσετε το πρόγραμμα και να λάβετε προστασία σε πραγματικό χρόνο. Είναι το πιο εύκολο στη χρήση πρόγραμμα, αλλά επίσης πιθανότατα δεν πρόκειται να βρει ένα πραγματικά δύσκολο rootkit, οπότε αν μπορείτε να αφιερώσετε χρόνο για να χρησιμοποιήσετε τα παρακάτω εργαλεία γραμμής εντολών, θα έχετε μια πολύ καλύτερη ιδέα για το αν ή δεν έχετε rootkit.
Rootkit Hunter
Το Rootkit Hunter είναι το αγαπημένο μου εργαλείο για χρήση στο Mac για εύρεση rootkit. Είναι σχετικά εύκολο στη χρήση και η έξοδος είναι πολύ κατανοητή. Αρχικά, μεταβείτε στη σελίδα λήψης και κάντε κλικ στο πράσινο κουμπί λήψης.
Εμπρός και κάντε διπλό κλικ στο αρχείο .tar.gz για να το αποσυσκευάσετε. Στη συνέχεια, ανοίξτε ένα παράθυρο τερματικού και πλοηγηθείτε σε αυτόν τον κατάλογο χρησιμοποιώντας την εντολή CD.
Μόλις φτάσετε, πρέπει να εκτελέσετε το σενάριο installer.sh. Για να το κάνετε αυτό, χρησιμοποιήστε την ακόλουθη εντολή:
sudo ./installer.sh – install
Θα σας ζητηθεί να εισαγάγετε τον κωδικό πρόσβασής σας για να εκτελέσετε το σενάριο.
Αν όλα πήγαν καλά, θα πρέπει να δείτε μερικές γραμμές σχετικά με την έναρξη της εγκατάστασης και τη δημιουργία καταλόγων. Στο τέλος, θα πρέπει να λέει Ολοκληρώθηκε η εγκατάσταση.
Προτού εκτελέσετε τον πραγματικό σαρωτή rootkit, πρέπει να ενημερώσετε το αρχείο ιδιοτήτων. Για να το κάνετε αυτό, πρέπει να πληκτρολογήσετε την ακόλουθη εντολή:
sudo rkhunter – propupd
Θα πρέπει να λάβετε ένα σύντομο μήνυμα που να υποδεικνύει ότι αυτή η διαδικασία λειτούργησε. Τώρα μπορείτε επιτέλους να εκτελέσετε τον πραγματικό έλεγχο του rootkit. Για να το κάνετε αυτό, χρησιμοποιήστε την ακόλουθη εντολή:
sudo rkhunter – επιταγή
Το πρώτο πράγμα που θα κάνει είναι να ελέγξει τις εντολές του συστήματος. Ως επί το πλείστον, θέλουμε πράσινο OKs εδώ και όσο το δυνατόν λιγότερα κόκκινα Προειδοποιήσεις. Μόλις ολοκληρωθεί, θα πατήσετε Enter και θα αρχίσει ο έλεγχος για rootkits.
Εδώ θέλετε να βεβαιωθείτε ότι όλα θα λένε Δεν βρέθηκε Εάν κάτι εμφανιστεί κόκκινο εδώ, σίγουρα έχετε εγκαταστήσει ένα rootkit. Τέλος, θα κάνει μερικούς ελέγχους στο σύστημα αρχείων, τον τοπικό κεντρικό υπολογιστή και το δίκτυο.Στο τέλος, θα σας δώσει μια ωραία περίληψη των αποτελεσμάτων.
Αν θέλετε περισσότερες λεπτομέρειες σχετικά με τις προειδοποιήσεις, πληκτρολογήστε cd /var/log και μετά πληκτρολογήστε sudo cat rkhunter.log για να δείτε ολόκληρο το αρχείο καταγραφής και τις επεξηγήσεις για τις προειδοποιήσεις. Δεν χρειάζεται να ανησυχείτε πολύ για τις εντολές ή τα μηνύματα των αρχείων εκκίνησης, καθώς αυτά είναι συνήθως εντάξει. Το κυριότερο είναι ότι δεν βρέθηκε τίποτα κατά τον έλεγχο για rootkits.
chkrootkit
Τοchkrootkit είναι ένα δωρεάν εργαλείο που θα ελέγχει τοπικά για σημάδια ενός rootkit. Αυτή τη στιγμή ελέγχει για περίπου 69 διαφορετικά rootkit. Μεταβείτε στον ιστότοπο, κάντε κλικ στο Λήψη στο επάνω μέρος και, στη συνέχεια, κάντε κλικ στο chkrootkit πιο πρόσφατη πηγή tarball για λήψη του αρχείου tar.gz.
Μεταβείτε στο φάκελο Λήψεις στο Mac σας και κάντε διπλό κλικ στο αρχείο. Αυτό θα το αποσυμπιέσει και θα δημιουργήσει έναν φάκελο στο Finder που ονομάζεται chkrootkit-0.XX. Τώρα ανοίξτε ένα παράθυρο τερματικού και μεταβείτε στον ασυμπίεστο κατάλογο.
Βασικά, κάνετε cd στον κατάλογο Λήψεις και μετά στο φάκελο chkrootkit. Μόλις φτάσετε εκεί, πληκτρολογείτε την εντολή για να φτιάξετε το πρόγραμμα:
sudo έχει νόημα
Δεν χρειάζεται να χρησιμοποιήσετε την εντολή sudo εδώ, αλλά επειδή απαιτεί δικαιώματα root για να εκτελεστεί, την έχω συμπεριλάβει. Προτού η εντολή λειτουργήσει, ενδέχεται να λάβετε ένα μήνυμα που λέει ότι τα εργαλεία προγραμματιστή πρέπει να εγκατασταθούν για να χρησιμοποιήσετε την εντολή make.
Προχωρήστε και κάντε κλικ στο Install για λήψη και εγκατάσταση των εντολών. Μόλις ολοκληρωθεί, εκτελέστε ξανά την εντολή. Μπορεί να δείτε ένα σωρό προειδοποιήσεις κ.λπ., αλλά απλώς αγνοήστε τις. Τέλος, θα πληκτρολογήσετε την ακόλουθη εντολή για να εκτελέσετε το πρόγραμμα:
sudo ./chkrootkit
Θα πρέπει να δείτε κάποια έξοδο όπως αυτό που φαίνεται παρακάτω:
Θα δείτε ένα από τα τρία μηνύματα εξόδου: δεν έχει μολυνθεί, not tested και δεν βρέθηκε Δεν έχει μολυνθεί σημαίνει ότι δεν βρέθηκε καμία υπογραφή rootkit, δεν βρέθηκε σημαίνει ότι η εντολή προς δοκιμή δεν είναι διαθέσιμη και δεν έχει δοκιμαστεί σημαίνει ότι η δοκιμή δεν πραγματοποιήθηκε για διάφορους λόγους.
Ας ελπίσουμε ότι όλα δεν είναι μολυσμένα, αλλά αν δείτε κάποια μόλυνση, τότε το μηχάνημά σας έχει παραβιαστεί. Ο προγραμματιστής του προγράμματος γράφει στο αρχείο README ότι βασικά θα πρέπει να επανεγκαταστήσετε το λειτουργικό σύστημα για να απαλλαγείτε από το rootkit, κάτι που βασικά προτείνω και εγώ.
Ανιχνευτής ρίζας ESET
Το ESET Rootkit Detector είναι ένα άλλο δωρεάν πρόγραμμα που είναι πολύ πιο εύκολο στη χρήση, αλλά το κύριο μειονέκτημα είναι ότι λειτουργεί μόνο σε OS X 10.6, 10.7 και 10.8. Λαμβάνοντας υπόψη ότι το OS X είναι σχεδόν στο 10,13 αυτή τη στιγμή, αυτό το πρόγραμμα δεν θα είναι χρήσιμο για τους περισσότερους ανθρώπους.
Δυστυχώς, δεν υπάρχουν πολλά προγράμματα εκεί έξω που ελέγχουν για rootkits σε Mac. Υπάρχουν πολλά περισσότερα για τα Windows και αυτό είναι κατανοητό, καθώς η βάση χρηστών των Windows είναι πολύ μεγαλύτερη. Ωστόσο, χρησιμοποιώντας τα παραπάνω εργαλεία, θα πρέπει να έχετε μια αξιοπρεπή ιδέα για το εάν είναι εγκατεστημένο ένα rootkit στο μηχάνημά σας. Απολαμβάνω!
