Ако се ваш Мац^(Mac) понаша чудно и сумњате на рооткит, онда ћете морати да се бавите преузимањем и скенирањем помоћу неколико различитих алата. Вреди напоменути да можете имати инсталиран рооткит^(rootkit) , а да то чак и не знате.

Главни разликовни фактор који руткит чини посебним је то што некоме даје контролу над вашим рачунаром без вашег знања. Када неко има приступ вашем рачунару, може једноставно да вас шпијунира или може да изврши било коју промену на вашем рачунару. Разлог зашто морате да испробате неколико различитих скенера је тај што је рооткит-е веома тешко открити.

За мене, ако уопште сумњам да је рооткит инсталиран на клијентском рачунару, одмах направим резервну копију података и извршим чисту инсталацију оперативног система. Ово је очигледно лакше рећи него учинити и није нешто што препоручујем свима. Ако нисте сигурни да ли имате руткит, најбоље је да користите следеће алате у нади да ћете открити руткит. Ако се ништа не појави коришћењем више алата, вероватно сте у реду.

Ако се пронађе рооткит, на вама је да одлучите да ли је уклањање било успешно или треба да почнете са чистог листа. Такође је вредно напоменути да пошто је ОС Кс^{(OS X)} заснован на УНИКС^(UNIX) -у, многи скенери користе командну линију и захтевају доста техничког знања. Пошто је овај блог намењен почетницима, покушаћу да се придржавам најједноставнијих алата које можете да користите за откривање руткита на свом Мац^(Mac) -у .

Малваребитес за Мац

Програм који највише одговара кориснику који можете да користите за уклањање руткита са вашег Мац^(Mac) - а је Малваребитес фор Мац^{(Malwarebytes for Mac)} . Није само за рутките, већ и за било коју врсту Мац^(Mac) вируса или малвера.

Можете преузети бесплатну пробну верзију и користити је до 30 дана. Цена је 40 долара ако желите да купите програм и добијете заштиту у реалном времену. То је најлакши програм за коришћење, али такође вероватно неће пронаћи рооткит који је заиста тешко открити, тако да ако одвојите време да користите алатке командне линије испод, добићете много бољу представу о томе да ли или немате рооткит.

Рооткит Хунтер

Рооткит Хунтер^{(Rootkit Hunter)} је мој омиљени алат који користим на Мац^(Mac) - у за проналажење руткита. Релативно је једноставан за коришћење, а резултат је веома лак за разумевање. Прво идите на страницу за преузимање^{(download page)} и кликните на зелено дугме за преузимање.

Само напред и двапут кликните на .тар.гз^(.tar.gz) датотеку да бисте је распаковали. Затим отворите прозор терминала^(Terminal) и идите до тог директоријума користећи ЦД команду.

Када сте тамо, потребно је да покренете скрипту инсталлер.сх. Да бисте то урадили, користите следећу команду:

sudo ./installer.sh – install

Од вас ће бити затражено да унесете лозинку да бисте покренули скрипту.

Ако је све прошло добро, требало би да видите неке редове о покретању инсталације и креирању директоријума. На крају би требало да пише Инсталација је завршена^{( Installation Complete)} .

Пре него што покренете прави рооткит скенер, морате да ажурирате датотеку са својствима. Да бисте то урадили, потребно је да откуцате следећу команду:

sudo rkhunter – propupd

Требало би да добијете кратку поруку која показује да је овај процес функционисао. Сада коначно можете покренути стварну проверу рооткита. Да бисте то урадили, користите следећу команду:

sudo rkhunter – check

Прва ствар коју ће урадити је да провери системске команде. Углавном желимо зелене ОК^(OKs) овде и што мање црвених упозорења^(Warnings) . Када се то заврши, притиснућете Ентер^(Enter) и он ће почети да проверава да ли има рооткита.

Овде желите да будете сигурни да сви кажу Није пронађено^{(Not Found)} . Ако се овде нешто појави црвено, дефинитивно имате инсталиран рооткит. На крају, извршиће неке провере система датотека, локалног хоста и мреже. На самом крају, то ће вам дати леп резиме резултата.

Ако желите више детаља о упозорењима, откуцајте cd /var/log , а затим укуцајте судо цат ркхунтер.лог^{(sudo cat rkhunter.log)} да бисте видели целу датотеку евиденције и објашњења за упозорења. Не морате превише да бринете о порукама о командама или датотекама за покретање јер су оне обично у реду. Главна ствар је да ништа није пронађено приликом провере руткита.

цхкрооткит

цхкрооткит^(chkrootkit) је бесплатна алатка која ће локално проверити да ли има знакова рооткита. Тренутно проверава око 69 различитих руткита. Идите на сајт, кликните на Преузми^(Download) на врху, а затим кликните на цхкрооткит најновији изворни тарбалл^{(chkrootkit latest Source tarball)} да преузмете тар.гз датотеку.

Идите у фасциклу Преузимања на свом ^(Downloads)Мац^(Mac) -у и двапут кликните на датотеку. Ово ће га декомпримовати^{(uncompress it)} и креирати фасциклу у Финдеру^(Finder) под називом цхкрооткит-0.КСКС^{(chkrootkit-0.XX)} . Сада отворите прозор терминала^(Terminal) и идите до некомпримованог директоријума.

У суштини, ЦД-ујете у директоријум Преузимања^(Downloads) , а затим у фасциклу цхкрооткит. Када сте тамо, укуцајте команду да направите програм:

sudo make sense

Овде не морате да користите команду судо^(sudo) , али пошто за покретање захтева роот привилегије, укључио сам је. Пре него што команда проради, можда ћете добити поруку у којој се каже да алати за програмере морају бити инсталирани да бисте користили команду маке^(make) .

Само напред и кликните на Инсталирај^(Install) да преузмете и инсталирате команде. Када завршите, покрените команду поново. Можда ћете видети гомилу упозорења итд., али их само игноришите. На крају, укуцаћете следећу команду да бисте покренули програм:

sudo ./chkrootkit

Требало би да видите неки излаз као што је приказано испод:

Видећете једну од три излазне поруке: није заражено^{( not infected)} , није тестирано^{(not tested)} и није пронађено^{(not found)} . Није заражено значи да није пронашло никакав руткит потпис, није пронађено значи да команда која се тестира није доступна и није тестирана значи да тест није обављен из различитих разлога.

Надајмо^(Hopefully) се да све испада да није заражено, али ако приметите било какву инфекцију, онда је ваша машина компромитована^{(machine has been compromised)} . Програмер програма пише у РЕАДМЕ^(README) датотеци да би у суштини требало да поново инсталирате ОС да бисте се решили рооткита, што је у суштини оно што ја такође предлажем.

ЕСЕТ Рооткит Детецтор

ЕСЕТ Рооткит Детецтор^{(ESET Rootkit Detector)} је још један бесплатни програм који је много лакши за коришћење, али главна мана је то што ради само на ОС Кс 10.6^{(OS X 10.6)} , 10.7 и 10.8. С обзиром да је ОС Кс^{(OS X)} тренутно скоро до 10.13, овај програм неће бити од помоћи већини људи.

Нажалост, не постоји много програма који проверавају руткитове на Мац^(Mac) -у . Постоји много више за Виндовс^(Windows) и то је разумљиво пошто је база корисника Виндовс^(Windows) - а много већа. Међутим, користећи горе наведене алате, требало би да добијете пристојну идеју о томе да ли је рооткит инсталиран на вашој машини или не. Уживати!

How to Check Your Mac for Rootkits

If your Maс iѕ acting strangely and you suspect a rootkit, then you’ll neеd tо get to work downloаding and scanning with several different tools. It’s worth noting that you could hаve а rootkit installed and not even know it.

The main distinguishing factor that makes a rootkit special is that it gives someone remote administrator control over your computer without your knowledge. Once someone has access to your computer, they can simply spy on you or they can make any change they want to your computer. The reason why you have to try several different scanners is that rootkits are notoriously hard to detect.

For me, if I even suspect there is a rootkit installed on a client computer, I immediately back up the data and perform a clean install of the operating system. This is obviously easier said than done and it’s not something I recommend everyone do. If you’re not sure if you have a rootkit, it’s best to use the following tools in the hopes of discovering the rootkit. If nothing comes up using multiple tools, you’re probably OK.

If a rootkit is found, it’s up to you to decide whether the removal was successful or whether you should just start from a clean slate. It’s also worth mentioning that since OS X is based on UNIX, a lot of the scanners use the command line and require quite a bit of technical know-how. Since this blog is geared towards beginners, I’m going to try to stick to the easiest tools that you can use to detect rootkits on your Mac.

Malwarebytes for Mac

The most user-friendly program you can use to remove any rootkits from your Mac is Malwarebytes for Mac. It’s not just for rootkits, but also any kind of Mac viruses or malware.

You can download the free trial and use it for up to 30 days. The cost is $40 if you want to purchase the program and get real-time protection. It’s the easiest program to use, but it’s also probably not going to find a really hard-to-detect rootkit, so if you can take the time to use the command line tools below, you’ll get a much better idea of whether or not you have a rootkit.

Rootkit Hunter

Rootkit Hunter is my favorite tool to use on the Mac for finding rootkits. It’s relatively easy to use and the output is very easy to understand. Firstly, go to the download page and click on the green download button.

Go ahead and double-click on the .tar.gz file to unpack it. Then open a Terminal window and navigate to that directory using the CD command.

Once there, you need to run the installer.sh script. To do this, use the following command:

sudo ./installer.sh – install

You’ll be prompted to enter your password to run the script.

If all went well, you should see some lines about the installation starting and directories being created. At the end, it should say Installation Complete.

Before you run the actual rootkit scanner, you have to update the properties file. To do this, you need to type the following command:

sudo rkhunter – propupd

You should get a short message indicating that this process worked. Now you can finally run the actual rootkit check. To do that, use the following command:

sudo rkhunter – check

The first thing it’ll do is check the system commands. For the most part, we want green OKs here and as few red Warnings as possible. Once that is complete, you will press Enter and it’ll start checking for rootkits.

Here you want to ensure all of them say Not Found. If anything comes up red here, you definitely have a rootkit installed. Lastly, it’ll do some checks on the file system, local host, and network. At the very end, it’ll give you a nice summary of the results.

If you want more details about the warnings, type in cd /var/log and then type in sudo cat rkhunter.log to see the entire log file and the explanations for the warnings. You don’t have to worry too much about the commands or startup files messages as those are normally OK. The main thing is that nothing was found when checking for rootkits.

chkrootkit

chkrootkit is a free tool that will locally check for signs of a rootkit. It currently checks for about 69 different rootkits. Go to the site, click on Download at the top and then click on chkrootkit latest Source tarball to download the tar.gz file.

Go to the Downloads folder on your Mac and double-click on the file. This will uncompress it and create a folder in Finder called chkrootkit-0.XX. Now open a Terminal window and navigate to the uncompressed directory.

Basically, you cd into the Downloads directory and then into the chkrootkit folder. Once there, you type in the command to make the program:

sudo make sense

You don’t have to use the sudo command here, but since it requires root privileges to run, I have included it. Before the command will work, you might get a message saying the developer tools need to be installed in order to use the make command.

Go ahead and click on Install to download and install the commands. Once complete, run the command again. You may see a bunch of warnings, etc., but just ignore those. Lastly, you will type the following command to run the program:

sudo ./chkrootkit

You should see some output like what is shown below:

You’ll see one of three output messages: not infected, not tested and not found. Not infected means it didn’t find any rootkit signature, not found means the command to be tested is not available and not tested means the test was not performed due to various reasons.

Hopefully, everything comes out not infected, but if you do see any infection, then your machine has been compromised. The developer of the program writes in the README file that you should basically reinstall the OS in order to get rid of the rootkit, which is basically what I also suggest.

ESET Rootkit Detector

ESET Rootkit Detector is another free program that is much easier to use, but the main downside is that it only works on OS X 10.6, 10.7 and 10.8. Considering OS X is almost to 10.13 right now, this program won’t be helpful for most people.

Unfortunately, there aren’t many programs out there that check for rootkits on Mac. There are a lot more for Windows and that’s understandable since the Windows user base is so much larger. However, using the tools above, you should hopefully get a decent idea of whether or not a rootkit is installed on your machine. Enjoy!

Related posts

• Како спречити да ваш Мац спава

• Како поново мапирати Фн тастере на вашем Мац-у

• Одређени тастери на вашем Мац рачунару не раде како треба?

• 5 начина да присилно затворите апликације на вашем Мац-у

• Како да креирате симболичне везе на вашем Мац-у

• Погледајте сачуване лозинке за Ви-Фи (ВПА, ВЕП) на ОС Кс

• Како се повезати на удаљени или локални сервер на Мац-у

• Да ли треба да надоградите свој Мац на Мојаве?

• Како направити снимке екрана на Мац ОС-у помоћу пречица на тастатури

• Како да хард ресетујете Мац ОС Кс рачунар и поново инсталирате ОС

• Миш стално нестаје на Мац-у? 10 ствари које треба пробати

• АПФС против Мац ОС Ектендед – Који је Мац формат диска најбољи?

• 4 начина за деинсталирање апликација на Мац-у

• Мац пречице на тастатури када се ваш Мац замрзне

• Како пронаћи и надоградити 32-битне апликације на свом Мац-у

• Како ажурирати Мац ОС Кс и Мац апликације са терминала

• Како да поправите Гоогле диск који се не синхронизује на Мац-у

• Како масовно преименовати датотеке на вашем Мац-у

• Коришћење Диск Утилити-а за прављење резервне копије вашег Мац-а

• 15 савета за продужење трајања батерије на Мац-у