Ak sa váš Mac správa zvláštne a máte podozrenie na rootkit, budete sa musieť pustiť do sťahovania a skenovania pomocou niekoľkých rôznych nástrojov. Stojí za zmienku, že môžete mať nainštalovaný rootkit a ani o tom neviete.

Hlavným rozlišovacím faktorom, ktorý robí rootkit výnimočným, je to, že umožňuje niekomu vzdialenému správcovi ovládať váš počítač bez vášho vedomia. Keď niekto získa prístup k vášmu počítaču, môže vás jednoducho špehovať alebo môže vo vašom počítači vykonať akúkoľvek zmenu, ktorú chce. Dôvodom, prečo musíte vyskúšať niekoľko rôznych skenerov, je, že rootkity je notoricky ťažké odhaliť.

Pre mňa, ak mám čo i len podozrenie, že na klientskom počítači je nainštalovaný rootkit, okamžite zálohujem dáta a vykonám čistú inštaláciu operačného systému. To sa samozrejme ľahšie povie, ako urobí a nie je to niečo, čo by som každému odporučil. Ak si nie ste istí, či máte rootkit, je najlepšie použiť nasledujúce nástroje v nádeji, že rootkit objavíte. Ak sa pomocou viacerých nástrojov nič neobjaví, pravdepodobne ste v poriadku.

Ak sa nájde rootkit, je na vás, aby ste sa rozhodli, či bolo odstránenie úspešné, alebo či by ste mali začať od čistého stola. Za zmienku tiež stojí, že keďže OS X je založený na UNIXe^(UNIX) , veľa skenerov používa príkazový riadok a vyžaduje si dosť technického know-how. Keďže tento blog je zameraný na začiatočníkov, pokúsim sa držať najjednoduchších nástrojov, ktoré môžete použiť na detekciu rootkitov na vašom Macu^(Mac) .

Malwarebytes pre Mac

Používateľsky najpríjemnejší program, ktorý môžete použiť na odstránenie akýchkoľvek rootkitov z Macu^(Mac) , je Malwarebytes pre Mac^{(Malwarebytes for Mac)} . Nie je to len pre rootkity, ale aj pre akýkoľvek druh Mac vírusov alebo malvéru.

Môžete si stiahnuť bezplatnú skúšobnú verziu a používať ju až 30 dní. Cena je 40 USD, ak si chcete kúpiť program a získať ochranu v reálnom čase. Je to najjednoduchší program na použitie, ale tiež pravdepodobne nenájde skutočne ťažko zistiteľný rootkit, takže ak si nájdete čas a použijete nástroje príkazového riadka nižšie, získate oveľa lepšiu predstavu o tom, či alebo nemáte rootkit.

Rootkit Hunter

Rootkit Hunter je môj obľúbený nástroj, ktorý používam na Macu^(Mac) na vyhľadávanie rootkitov. Jeho použitie je pomerne jednoduché a výstup je veľmi ľahko pochopiteľný. Najprv prejdite na stránku sťahovania^{(download page)} a kliknite na zelené tlačidlo sťahovania.

Pokračujte a dvakrát kliknite na súbor .tar.gz , aby ste ho rozbalili. Potom otvorte okno Terminál^(Terminal) a prejdite do tohto adresára pomocou príkazu CD.

Keď tam budete, musíte spustiť skript installer.sh. Ak to chcete urobiť, použite nasledujúci príkaz:

sudo ./installer.sh – install

Na spustenie skriptu sa zobrazí výzva na zadanie hesla.

Ak všetko prebehlo dobre, mali by ste vidieť niekoľko riadkov o spustení inštalácie a vytváraní adresárov. Na konci by malo byť uvedené, že inštalácia bola dokončená^{( Installation Complete)} .

Pred spustením skutočného skenera rootkitov musíte aktualizovať súbor vlastností. Ak to chcete urobiť, musíte zadať nasledujúci príkaz:

sudo rkhunter – propupd

Mali by ste dostať krátku správu oznamujúcu, že tento proces fungoval. Teraz môžete konečne spustiť skutočnú kontrolu rootkitov. Ak to chcete urobiť, použite nasledujúci príkaz:

sudo rkhunter – check

Prvá vec, ktorú urobí, je kontrola systémových príkazov. Väčšinou tu chceme zelené OK^(OKs) a čo najmenej červených Varovaní^(Warnings) . Po dokončení stlačíte Enter a začne sa kontrolovať prítomnosť rootkitov.

Tu sa chcete uistiť, že všetky z nich hovoria Nenájdené^{(Not Found)} . Ak sa tu niečo objaví na červeno, určite máte nainštalovaný rootkit. Nakoniec vykoná nejaké kontroly systému súborov, lokálneho hostiteľa a siete. Na samom konci vám poskytne pekné zhrnutie výsledkov.

Ak chcete viac podrobností o varovaniach, zadajte cd /var/log a potom zadajte sudo cat rkhunter.log , aby ste videli celý súbor denníka a vysvetlenia varovaní. Nemusíte sa príliš starať o príkazy alebo správy o spúšťacích súboroch, pretože tie sú zvyčajne v poriadku. Hlavná vec je, že pri kontrole rootkitov sa nič nenašlo.

chkrootkit

chkrootkit je bezplatný nástroj, ktorý bude lokálne kontrolovať príznaky rootkitu. V súčasnosti kontroluje približne 69 rôznych rootkitov. Prejdite na stránku, kliknite na Stiahnuť^(Download) v hornej časti a potom kliknite na chkrootkit najnovší zdroj tarball^{(chkrootkit latest Source tarball)} pre stiahnutie súboru tar.gz.

Prejdite na počítači Mac do priečinka Stiahnuté^(Downloads) súbory a dvakrát kliknite na súbor. Tým ho rozbalíte a vo ^{(uncompress it)}Finderi^(Finder) vytvoríte priečinok s názvom chkrootkit-0.XX . Teraz otvorte okno Terminálu^(Terminal) a prejdite do nekomprimovaného adresára.

V podstate idete CD do adresára Downloads a potom do priečinka chkrootkit. Keď tam budete, zadajte príkaz na vytvorenie programu:

sudo make sense

Tu nemusíte použiť príkaz sudo , ale keďže na spustenie vyžaduje oprávnenia root, zahrnul som ho. Skôr než bude príkaz fungovať, môže sa vám zobraziť správa, že na použitie príkazu make^(make) je potrebné nainštalovať nástroje pre vývojárov .

Pokračujte a kliknutím na Inštalovať^(Install) stiahnite a nainštalujte príkazy. Po dokončení spustite príkaz znova. Môžete vidieť veľa upozornení atď., ale jednoducho ich ignorujte. Nakoniec zadáte nasledujúci príkaz na spustenie programu:

sudo ./chkrootkit

Mali by ste vidieť nejaký výstup, ako je to uvedené nižšie:

Uvidíte jednu z troch výstupných správ: neinfikované^{( not infected)} , netestované^{(not tested)} a nenájdené^{(not found)} . Neinfikovaný znamená, že nenašiel žiadny podpis rootkitu, nenájdený znamená, že príkaz, ktorý sa má testovať, nie je dostupný a netestovaný znamená, že test nebol vykonaný z rôznych dôvodov.

Dúfajme^(Hopefully) , že všetko nevyjde infikované, ale ak nejakú infekciu uvidíte, váš počítač bol napadnutý^{(machine has been compromised)} . Vývojár programu v súbore README píše , že by ste mali v podstate preinštalovať OS, aby ste sa zbavili rootkitu, čo v podstate tiež navrhujem.

ESET Rootkit Detector

ESET Rootkit Detector je ďalší bezplatný program, ktorý sa používa oveľa jednoduchšie, ale hlavnou nevýhodou je, že funguje iba na OS X 10.6 , 10.7 a 10.8. Vzhľadom na to, že OS X je v súčasnosti takmer 10.13, tento program nebude pre väčšinu ľudí užitočný.

Bohužiaľ, nie je veľa programov, ktoré kontrolujú rootkity na Macu^(Mac) . Pre systém Windows^(Windows) je toho oveľa viac a je to pochopiteľné, pretože používateľská základňa systému Windows^(Windows) je oveľa väčšia. S použitím vyššie uvedených nástrojov by ste však, dúfajme, mali získať slušnú predstavu o tom, či je na vašom počítači nainštalovaný rootkit alebo nie. Užite si to!

How to Check Your Mac for Rootkits

If yoυr Mac iѕ acting strangely and you suspect а rootkit, then yoυ’ll need to get to work downloading and scаnning with several differеnt tools. Іt’s worth noting that you could have a rootkit installed and not even know it.

The main distinguishing factor that makes a rootkit special is that it gives someone remote administrator control over your computer without your knowledge. Once someone has access to your computer, they can simply spy on you or they can make any change they want to your computer. The reason why you have to try several different scanners is that rootkits are notoriously hard to detect.

For me, if I even suspect there is a rootkit installed on a client computer, I immediately back up the data and perform a clean install of the operating system. This is obviously easier said than done and it’s not something I recommend everyone do. If you’re not sure if you have a rootkit, it’s best to use the following tools in the hopes of discovering the rootkit. If nothing comes up using multiple tools, you’re probably OK.

If a rootkit is found, it’s up to you to decide whether the removal was successful or whether you should just start from a clean slate. It’s also worth mentioning that since OS X is based on UNIX, a lot of the scanners use the command line and require quite a bit of technical know-how. Since this blog is geared towards beginners, I’m going to try to stick to the easiest tools that you can use to detect rootkits on your Mac.

Malwarebytes for Mac

The most user-friendly program you can use to remove any rootkits from your Mac is Malwarebytes for Mac. It’s not just for rootkits, but also any kind of Mac viruses or malware.

You can download the free trial and use it for up to 30 days. The cost is $40 if you want to purchase the program and get real-time protection. It’s the easiest program to use, but it’s also probably not going to find a really hard-to-detect rootkit, so if you can take the time to use the command line tools below, you’ll get a much better idea of whether or not you have a rootkit.

Rootkit Hunter

Rootkit Hunter is my favorite tool to use on the Mac for finding rootkits. It’s relatively easy to use and the output is very easy to understand. Firstly, go to the download page and click on the green download button.

Go ahead and double-click on the .tar.gz file to unpack it. Then open a Terminal window and navigate to that directory using the CD command.

Once there, you need to run the installer.sh script. To do this, use the following command:

sudo ./installer.sh – install

You’ll be prompted to enter your password to run the script.

If all went well, you should see some lines about the installation starting and directories being created. At the end, it should say Installation Complete.

Before you run the actual rootkit scanner, you have to update the properties file. To do this, you need to type the following command:

sudo rkhunter – propupd

You should get a short message indicating that this process worked. Now you can finally run the actual rootkit check. To do that, use the following command:

sudo rkhunter – check

The first thing it’ll do is check the system commands. For the most part, we want green OKs here and as few red Warnings as possible. Once that is complete, you will press Enter and it’ll start checking for rootkits.

Here you want to ensure all of them say Not Found. If anything comes up red here, you definitely have a rootkit installed. Lastly, it’ll do some checks on the file system, local host, and network. At the very end, it’ll give you a nice summary of the results.

If you want more details about the warnings, type in cd /var/log and then type in sudo cat rkhunter.log to see the entire log file and the explanations for the warnings. You don’t have to worry too much about the commands or startup files messages as those are normally OK. The main thing is that nothing was found when checking for rootkits.

chkrootkit

chkrootkit is a free tool that will locally check for signs of a rootkit. It currently checks for about 69 different rootkits. Go to the site, click on Download at the top and then click on chkrootkit latest Source tarball to download the tar.gz file.

Go to the Downloads folder on your Mac and double-click on the file. This will uncompress it and create a folder in Finder called chkrootkit-0.XX. Now open a Terminal window and navigate to the uncompressed directory.

Basically, you cd into the Downloads directory and then into the chkrootkit folder. Once there, you type in the command to make the program:

sudo make sense

You don’t have to use the sudo command here, but since it requires root privileges to run, I have included it. Before the command will work, you might get a message saying the developer tools need to be installed in order to use the make command.

Go ahead and click on Install to download and install the commands. Once complete, run the command again. You may see a bunch of warnings, etc., but just ignore those. Lastly, you will type the following command to run the program:

sudo ./chkrootkit

You should see some output like what is shown below:

You’ll see one of three output messages: not infected, not tested and not found. Not infected means it didn’t find any rootkit signature, not found means the command to be tested is not available and not tested means the test was not performed due to various reasons.

Hopefully, everything comes out not infected, but if you do see any infection, then your machine has been compromised. The developer of the program writes in the README file that you should basically reinstall the OS in order to get rid of the rootkit, which is basically what I also suggest.

ESET Rootkit Detector

ESET Rootkit Detector is another free program that is much easier to use, but the main downside is that it only works on OS X 10.6, 10.7 and 10.8. Considering OS X is almost to 10.13 right now, this program won’t be helpful for most people.

Unfortunately, there aren’t many programs out there that check for rootkits on Mac. There are a lot more for Windows and that’s understandable since the Windows user base is so much larger. However, using the tools above, you should hopefully get a decent idea of whether or not a rootkit is installed on your machine. Enjoy!

Related posts

• Ako zabrániť tomu, aby váš Mac spal

• Ako premapovať klávesy Fn na počítači Mac

• Niektoré klávesy na vašom Macu nefungujú správne?

• 5 spôsobov, ako vynútiť ukončenie aplikácií na počítači Mac

• Ako vytvoriť symbolické odkazy na počítači Mac

• Ako povoliť a používať režim „Obraz v obraze“ na počítači Mac

• 15 tipov na predĺženie výdrže batérie na Macu

• Ako tlačiť čiernobielo na Macu

• Ako niekomu sťažiť nabúranie sa do vášho Macu

• Použite zvukový vstup Line In na počítači Mac

• Ako nájsť a inovovať 32-bitové aplikácie na počítači Mac

• Ako aktualizovať Mac OS X a aplikácie Mac z terminálu

• Najlepšie klávesové skratky pre Mac, ktoré sa môžete naučiť

• Mali by ste upgradovať svoj Mac na Mojave?

• Ako vynútiť vyprázdnenie koša na Macu

• Ako upraviť súbor Hosts na Macu

• Najlepšie klávesové skratky pre Mac OS X

• Ako presúvať súbory v systéme Mac OS X

• Použitie Disk Utility na zálohovanie vášho Macu

• Oprava „Nedá sa nainštalovať softvér pre tlačiareň“ v OS X