Ha a Mac gépe^(Mac) furcsán működik, és rootkitre gyanakszik, akkor több különböző eszközzel kell letöltenie és beolvasnia. Érdemes megjegyezni, hogy előfordulhat, hogy telepítve van egy rootkit , és még csak nem is tudod.

A fő megkülönböztető tényező, amely a rootkitet különlegessé teszi, az, hogy valaki távoli rendszergazdát biztosít a számítógép felett az Ön tudta nélkül. Ha valaki hozzáfér az Ön számítógépéhez, egyszerűen kémkedhet utána, vagy bármilyen változtatást végrehajthat a számítógépén. Az ok, amiért több különböző szkennert kell kipróbálnia, az az, hogy a rootkiteket köztudottan nehéz felismerni.

Számomra, ha gyanítom, hogy rootkit van telepítve egy kliens számítógépre, azonnal biztonsági másolatot készítek az adatokról, és végrehajtom az operációs rendszer tiszta telepítését. Ezt nyilvánvalóan könnyebb mondani, mint megtenni, és nem ajánlom mindenkinek. Ha nem biztos abban, hogy rendelkezik-e rootkittel, a legjobb, ha a következő eszközöket használja a rootkit felfedezésének reményében. Ha több eszköz használatával semmi sem jön össze, valószínűleg minden rendben van.

Ha rootkitet talál, akkor Ön dönti el, hogy az eltávolítás sikeres volt-e, vagy csak tiszta lappal kell kezdenie. Azt is érdemes megemlíteni, hogy mivel az OS X UNIX alapú , sok szkenner használja a parancssort, és nem kevés technikai know-how-t igényel. Mivel ez a blog kezdőknek szól, megpróbálok ragaszkodni a legegyszerűbb eszközökhöz, amelyek segítségével észlelheti a rootkiteket a Mac -en .

Malwarebytes for Mac

A legfelhasználóbarátabb program, amellyel eltávolíthatja a rootkitet a Mac -ről, a Malwarebytes for Mac . Ez nem csak a rootkitekre vonatkozik, hanem bármilyen Mac - vírusra vagy rosszindulatú programra is.

Letöltheti az ingyenes próbaverziót, és legfeljebb 30 napig használhatja. A költség 40 dollár, ha meg szeretné vásárolni a programot, és valós idejű védelmet szeretne kapni. Ez a legkönnyebben használható program, de valószínűleg nem fog igazán nehezen észlelhető rootkitet találni, így ha szán rá időt az alábbi parancssori eszközök használatára, sokkal jobb képet kap arról, hogy nincs rootkited.

Rootkit Hunter

A Rootkit Hunter^{(Rootkit Hunter)} a kedvenc eszközöm a Mac rendszeren a rootkitek keresésére. Használata viszonylag egyszerű, a kimenet pedig nagyon könnyen érthető. Először lépjen a letöltési oldalra^{(download page)} , és kattintson a zöld letöltés gombra.

Menjen tovább, és kattintson duplán a .tar.gz fájlra a kicsomagoláshoz. Ezután nyisson meg egy terminálablakot^(Terminal) , és navigáljon a könyvtárba a CD paranccsal.

Ha ott van, futtassa az installer.sh szkriptet. Ehhez használja a következő parancsot:

sudo ./installer.sh – install

A szkript futtatásához meg kell adnia jelszavát.

Ha minden jól ment, akkor látnia kell néhány sort a telepítés indulásáról és a létrehozás alatt álló könyvtárakról. A végén a Telepítés készen^{( Installation Complete)} kell állnia .

A tényleges rootkit szkenner futtatása előtt frissítenie kell a tulajdonságfájlt. Ehhez be kell írnia a következő parancsot:

sudo rkhunter – propupd

Egy rövid üzenetet kell kapnia, amely jelzi, hogy ez a folyamat működött. Most végre futtathatja a tényleges rootkit ellenőrzést. Ehhez használja a következő parancsot:

sudo rkhunter – check

Az első dolga a rendszerparancsok ellenőrzése. A legtöbb esetben zöld OK^(OKs) -t és minél kevesebb piros figyelmeztetést^(Warnings) szeretnénk . Ha ez kész, nyomja meg az Enter billentyűt, és a rendszer elkezdi a rootkitek keresését.

Itt azt szeretné elérni, hogy mindegyik azt mondja, hogy nem található^{(Not Found)} . Ha valami pirosan jelenik meg itt, akkor feltétlenül telepítve van egy rootkit. Végül ellenőrizni fogja a fájlrendszert, a helyi gazdagépet és a hálózatot. A legvégén szép összefoglalót ad az eredményekről.

Ha többet szeretne tudni a figyelmeztetésekről, írja be a cd /var/log parancsot , majd írja be a sudo cat rkhunter.log parancsot^{(sudo cat rkhunter.log)} a teljes naplófájl és a figyelmeztetések magyarázatának megtekintéséhez. Nem kell túl sokat aggódnia a parancsok vagy az indítófájlok üzenetei miatt, mivel ezek általában rendben vannak. A lényeg az, hogy a rootkitek ellenőrzésekor semmit nem találtunk.

chkrootkit

A chkrootkit^(chkrootkit) egy ingyenes eszköz, amely helyileg ellenőrzi a rootkit jeleit. Jelenleg körülbelül 69 különböző rootkitet keres. Nyissa meg a webhelyet, kattintson a Letöltés^(Download) gombra a tetején, majd kattintson a chkrootkit legújabb forráskódú tarballjára^{(chkrootkit latest Source tarball)} a tar.gz fájl letöltéséhez.

Nyissa meg a Letöltések^(Downloads) mappát Mac számítógépén^(Mac) , és kattintson duplán a fájlra. Ez kicsomagolja,^{(uncompress it)} és létrehoz egy mappát a Finderben ^(Finder)chkrootkit-0.XX néven . Most nyissa meg a Terminál^(Terminal) ablakot, és keresse meg a tömörítetlen könyvtárat.

Alapvetően a Letöltések^(Downloads) könyvtárba, majd a chkrootkit mappába kell beírnod ​​a cd-t. Ha ott van, írja be a parancsot a program létrehozásához:

sudo make sense

Itt nem kell a sudo parancsot használnod, de mivel a futtatásához root jogosultság szükséges, beépítettem. Mielőtt a parancs működne, egy üzenetet kaphat, amely szerint a make parancs használatához telepíteni kell a fejlesztői eszközöket.

Menjen előre, és kattintson a Telepítés^(Install) gombra a parancsok letöltéséhez és telepítéséhez. Ha elkészült, futtassa újra a parancsot. Láthat egy csomó figyelmeztetést stb., de hagyja figyelmen kívül ezeket. Végül írja be a következő parancsot a program futtatásához:

sudo ./chkrootkit

Valamilyen kimenetet kell látnia, mint az alábbiakban:

A három kimeneti üzenet egyikét fogja látni: nem fertőzött^{( not infected)} , nem tesztelt^{(not tested)} és nem található^{(not found)} . A nem fertőzött azt jelenti, hogy nem talált rootkit aláírást, a nem található azt, hogy a tesztelendő parancs nem elérhető, a nem tesztelt pedig azt, hogy a tesztet különböző okok miatt nem hajtották végre.

Remélhetőleg^(Hopefully) minden nem fertőzött lesz, de ha fertőzést lát, akkor a gépe veszélybe került^{(machine has been compromised)} . A program fejlesztője azt írja a README fájlba, hogy alapvetően újra kell telepíteni az operációs rendszert, hogy megszabaduljon a rootkittől, amit alapvetően én is javaslok.

ESET Rootkit Detector

Az ESET Rootkit Detector^{(ESET Rootkit Detector)} egy másik ingyenes program, amely sokkal könnyebben használható, de a fő hátránya, hogy csak az OS X 10.6 , 10.7 és 10.8 operációs rendszeren működik. Tekintettel arra , hogy az OS X jelenleg majdnem eléri a 10.13-at, ez a program a legtöbb ember számára nem lesz hasznos.

Sajnos nem sok olyan program létezik, amely rootkitet keres a Mac rendszeren . Sokkal több van a Windows számára , és ez érthető, mivel a Windows felhasználói bázisa sokkal nagyobb. A fenti eszközök használatával azonban remélhetőleg megfelelő képet kaphat arról, hogy rootkit telepítve van-e a gépen. Élvezd!

How to Check Your Mac for Rootkits

If your Mac is acting strangely and you suspect a rootkit, then you’ll need to get to work downloading and scannіng with several different tools. It’s worth noting that you could have a rootkit installed and not even know it.

The main distinguishing factor that makes a rootkit special is that it gives someone remote administrator control over your computer without your knowledge. Once someone has access to your computer, they can simply spy on you or they can make any change they want to your computer. The reason why you have to try several different scanners is that rootkits are notoriously hard to detect.

For me, if I even suspect there is a rootkit installed on a client computer, I immediately back up the data and perform a clean install of the operating system. This is obviously easier said than done and it’s not something I recommend everyone do. If you’re not sure if you have a rootkit, it’s best to use the following tools in the hopes of discovering the rootkit. If nothing comes up using multiple tools, you’re probably OK.

If a rootkit is found, it’s up to you to decide whether the removal was successful or whether you should just start from a clean slate. It’s also worth mentioning that since OS X is based on UNIX, a lot of the scanners use the command line and require quite a bit of technical know-how. Since this blog is geared towards beginners, I’m going to try to stick to the easiest tools that you can use to detect rootkits on your Mac.

Malwarebytes for Mac

The most user-friendly program you can use to remove any rootkits from your Mac is Malwarebytes for Mac. It’s not just for rootkits, but also any kind of Mac viruses or malware.

You can download the free trial and use it for up to 30 days. The cost is $40 if you want to purchase the program and get real-time protection. It’s the easiest program to use, but it’s also probably not going to find a really hard-to-detect rootkit, so if you can take the time to use the command line tools below, you’ll get a much better idea of whether or not you have a rootkit.

Rootkit Hunter

Rootkit Hunter is my favorite tool to use on the Mac for finding rootkits. It’s relatively easy to use and the output is very easy to understand. Firstly, go to the download page and click on the green download button.

Go ahead and double-click on the .tar.gz file to unpack it. Then open a Terminal window and navigate to that directory using the CD command.

Once there, you need to run the installer.sh script. To do this, use the following command:

sudo ./installer.sh – install

You’ll be prompted to enter your password to run the script.

If all went well, you should see some lines about the installation starting and directories being created. At the end, it should say Installation Complete.

Before you run the actual rootkit scanner, you have to update the properties file. To do this, you need to type the following command:

sudo rkhunter – propupd

You should get a short message indicating that this process worked. Now you can finally run the actual rootkit check. To do that, use the following command:

sudo rkhunter – check

The first thing it’ll do is check the system commands. For the most part, we want green OKs here and as few red Warnings as possible. Once that is complete, you will press Enter and it’ll start checking for rootkits.

Here you want to ensure all of them say Not Found. If anything comes up red here, you definitely have a rootkit installed. Lastly, it’ll do some checks on the file system, local host, and network. At the very end, it’ll give you a nice summary of the results.

If you want more details about the warnings, type in cd /var/log and then type in sudo cat rkhunter.log to see the entire log file and the explanations for the warnings. You don’t have to worry too much about the commands or startup files messages as those are normally OK. The main thing is that nothing was found when checking for rootkits.

chkrootkit

chkrootkit is a free tool that will locally check for signs of a rootkit. It currently checks for about 69 different rootkits. Go to the site, click on Download at the top and then click on chkrootkit latest Source tarball to download the tar.gz file.

Go to the Downloads folder on your Mac and double-click on the file. This will uncompress it and create a folder in Finder called chkrootkit-0.XX. Now open a Terminal window and navigate to the uncompressed directory.

Basically, you cd into the Downloads directory and then into the chkrootkit folder. Once there, you type in the command to make the program:

sudo make sense

You don’t have to use the sudo command here, but since it requires root privileges to run, I have included it. Before the command will work, you might get a message saying the developer tools need to be installed in order to use the make command.

Go ahead and click on Install to download and install the commands. Once complete, run the command again. You may see a bunch of warnings, etc., but just ignore those. Lastly, you will type the following command to run the program:

sudo ./chkrootkit

You should see some output like what is shown below:

You’ll see one of three output messages: not infected, not tested and not found. Not infected means it didn’t find any rootkit signature, not found means the command to be tested is not available and not tested means the test was not performed due to various reasons.

Hopefully, everything comes out not infected, but if you do see any infection, then your machine has been compromised. The developer of the program writes in the README file that you should basically reinstall the OS in order to get rid of the rootkit, which is basically what I also suggest.

ESET Rootkit Detector

ESET Rootkit Detector is another free program that is much easier to use, but the main downside is that it only works on OS X 10.6, 10.7 and 10.8. Considering OS X is almost to 10.13 right now, this program won’t be helpful for most people.

Unfortunately, there aren’t many programs out there that check for rootkits on Mac. There are a lot more for Windows and that’s understandable since the Windows user base is so much larger. However, using the tools above, you should hopefully get a decent idea of whether or not a rootkit is installed on your machine. Enjoy!

Related posts

• Hogyan lehet megakadályozni, hogy a Mac elaludjon

• Az Fn billentyűk újratervezése a Mac számítógépen

• Bizonyos billentyűk nem működnek megfelelően a Mac-en?

• 5 módszer az alkalmazások elhagyására a Mac gépen

• Symlinkek létrehozása a Mac számítógépen

• SD-kártya formázása Mac-en

• Használja a Line In Audio bemenetet Mac számítógépen

• Mac OS X számítógép hardver alaphelyzetbe állítása és az operációs rendszer újratelepítése

• APFS vs Mac OS Extended – Melyik Mac lemezformátum a legjobb?

• Mac tűzfal: engedélyezése és konfigurálása

• Mac billentyűparancsok, amikor a Mac lefagy

• Szkennelés a képrögzítéssel Mac rendszeren

• Továbbra is eltűnik az egér Mac-en? 10 dolog, amit érdemes kipróbálni

• 20 tipp, hogy a legtöbbet hozza ki a Finderből a Mac rendszeren

• Frissítse a Mac-et Mojave-ra?

• A „Kép a képben” mód engedélyezése és használata a Mac számítógépen

• 15 tipp az akkumulátor élettartamának meghosszabbításához Mac számítógépen

• Titkosított e-mailek küldése Mac számítógépéről

• Az aktiválási zár engedélyezése a Mac számítógépen

• Az iMessage kikapcsolása Mac rendszeren