Εάν το Mac σας λειτουργεί περίεργα και υποπτεύεστε ότι έχετε ένα rootkit, τότε θα πρέπει να ξεκινήσετε τη δουλειά με τη λήψη και τη σάρωση με πολλά διαφορετικά εργαλεία. Αξίζει να σημειωθεί ότι θα μπορούσατε να έχετε εγκαταστήσει ένα rootkit και να μην το γνωρίζετε καν.

Ο κύριος παράγοντας διάκρισης που κάνει ένα rootkit ξεχωριστό είναι ότι δίνει σε κάποιον διαχειριστή τον έλεγχο του υπολογιστή σας από απόσταση χωρίς να το γνωρίζετε. Μόλις κάποιος έχει πρόσβαση στον υπολογιστή σας, μπορεί απλώς να σας κατασκοπεύσει ή να κάνει οποιαδήποτε αλλαγή θέλει στον υπολογιστή σας. Ο λόγος για τον οποίο πρέπει να δοκιμάσετε πολλούς διαφορετικούς σαρωτές είναι ότι τα rootkits είναι γνωστό ότι είναι δύσκολο να εντοπιστούν.

Για μένα, αν υποψιάζομαι ότι υπάρχει εγκατεστημένο rootkit σε υπολογιστή-πελάτη, δημιουργώ αμέσως αντίγραφα ασφαλείας των δεδομένων και πραγματοποιώ μια καθαρή εγκατάσταση του λειτουργικού συστήματος. Αυτό είναι προφανώς πιο εύκολο να ειπωθεί παρά να γίνει και δεν είναι κάτι που προτείνω σε όλους να κάνουν. Εάν δεν είστε σίγουροι αν έχετε rootkit, είναι καλύτερο να χρησιμοποιήσετε τα παρακάτω εργαλεία με την ελπίδα να ανακαλύψετε το rootkit. Εάν δεν προκύψει τίποτα χρησιμοποιώντας πολλά εργαλεία, μάλλον είστε εντάξει.

Εάν βρεθεί ένα rootkit, εναπόκειται σε εσάς να αποφασίσετε εάν η αφαίρεση ήταν επιτυχής ή αν θα πρέπει απλώς να ξεκινήσετε από μια καθαρή πλάκα. Αξίζει επίσης να αναφέρουμε ότι δεδομένου ότι το OS X βασίζεται στο UNIX , πολλοί από τους σαρωτές χρησιμοποιούν τη γραμμή εντολών και απαιτούν αρκετή τεχνική τεχνογνωσία. Δεδομένου ότι αυτό το ιστολόγιο απευθύνεται σε αρχάριους, θα προσπαθήσω να παραμείνω στα πιο εύκολα εργαλεία που μπορείτε να χρησιμοποιήσετε για να εντοπίσετε rootkits στο Mac σας .

Malwarebytes για Mac

Το πιο φιλικό προς το χρήστη πρόγραμμα που μπορείτε να χρησιμοποιήσετε για να αφαιρέσετε τυχόν rootkits από το Mac σας είναι το Malwarebytes για Mac^{(Malwarebytes for Mac)} . Δεν είναι μόνο για rootkits, αλλά και για κάθε είδους ιούς Mac ή κακόβουλο λογισμικό.

Μπορείτε να κατεβάσετε τη δωρεάν δοκιμή και να τη χρησιμοποιήσετε για έως και 30 ημέρες. Το κόστος είναι 40 $ εάν θέλετε να αγοράσετε το πρόγραμμα και να λάβετε προστασία σε πραγματικό χρόνο. Είναι το πιο εύκολο στη χρήση πρόγραμμα, αλλά επίσης πιθανότατα δεν πρόκειται να βρει ένα πραγματικά δύσκολο rootkit, οπότε αν μπορείτε να αφιερώσετε χρόνο για να χρησιμοποιήσετε τα παρακάτω εργαλεία γραμμής εντολών, θα έχετε μια πολύ καλύτερη ιδέα για το αν ή δεν έχεις rootkit.

Rootkit Hunter

Το Rootkit Hunter^{(Rootkit Hunter)} είναι το αγαπημένο μου εργαλείο για χρήση στο Mac για την εύρεση rootkits. Είναι σχετικά εύκολο στη χρήση και η έξοδος είναι πολύ εύκολα κατανοητή. Αρχικά, μεταβείτε στη σελίδα λήψης^{(download page)} και κάντε κλικ στο πράσινο κουμπί λήψης.

Προχωρήστε και κάντε διπλό κλικ στο αρχείο .tar.gz για να το αποσυσκευάσετε. Στη συνέχεια, ανοίξτε ένα παράθυρο Terminal και μεταβείτε σε αυτόν τον κατάλογο χρησιμοποιώντας την εντολή CD.

Μόλις φτάσετε εκεί, πρέπει να εκτελέσετε το σενάριο installer.sh. Για να το κάνετε αυτό, χρησιμοποιήστε την ακόλουθη εντολή:

sudo ./installer.sh – install

Θα σας ζητηθεί να εισαγάγετε τον κωδικό πρόσβασής σας για να εκτελέσετε το σενάριο.

Εάν όλα πήγαν καλά, θα πρέπει να δείτε μερικές γραμμές σχετικά με την έναρξη της εγκατάστασης και τη δημιουργία καταλόγων. Στο τέλος, θα πρέπει να λέει η εγκατάσταση Ολοκληρώθηκε^{( Installation Complete)} .

Πριν εκτελέσετε τον πραγματικό σαρωτή rootkit, πρέπει να ενημερώσετε το αρχείο ιδιοτήτων. Για να το κάνετε αυτό, πρέπει να πληκτρολογήσετε την ακόλουθη εντολή:

sudo rkhunter – propupd

Θα πρέπει να λάβετε ένα σύντομο μήνυμα που θα υποδεικνύει ότι αυτή η διαδικασία λειτούργησε. Τώρα μπορείτε επιτέλους να εκτελέσετε τον πραγματικό έλεγχο του rootkit. Για να το κάνετε αυτό, χρησιμοποιήστε την ακόλουθη εντολή:

sudo rkhunter – check

Το πρώτο πράγμα που θα κάνει είναι να ελέγξει τις εντολές του συστήματος. Ως επί το πλείστον, θέλουμε πράσινα ΟΚ^(OKs) εδώ και όσο το δυνατόν λιγότερες κόκκινες προειδοποιήσεις^(Warnings) . Μόλις ολοκληρωθεί, θα πατήσετε Enter και θα αρχίσει να ελέγχει για rootkits.

Εδώ θέλετε να βεβαιωθείτε ότι όλες θα λένε Δεν βρέθηκε^{(Not Found)} . Αν κάτι εμφανιστεί κόκκινο εδώ, σίγουρα έχετε εγκαταστήσει ένα rootkit. Τέλος, θα κάνει μερικούς ελέγχους στο σύστημα αρχείων, τον τοπικό κεντρικό υπολογιστή και το δίκτυο. Στο τέλος, θα σας δώσει μια ωραία περίληψη των αποτελεσμάτων.

Εάν θέλετε περισσότερες λεπτομέρειες σχετικά με τις προειδοποιήσεις, πληκτρολογήστε cd /var/log και μετά πληκτρολογήστε sudo cat rkhunter.log για να δείτε ολόκληρο το αρχείο καταγραφής και τις επεξηγήσεις για τις προειδοποιήσεις. Δεν χρειάζεται να ανησυχείτε πολύ για τις εντολές ή τα μηνύματα των αρχείων εκκίνησης, καθώς αυτά είναι συνήθως εντάξει. Το κύριο πράγμα είναι ότι δεν βρέθηκε τίποτα κατά τον έλεγχο για rootkits.

chkrootkit

Το chkrootkit^(chkrootkit) είναι ένα δωρεάν εργαλείο που θα ελέγχει τοπικά για σημάδια ενός rootkit. Αυτή τη στιγμή ελέγχει για περίπου 69 διαφορετικά rootkit. Μεταβείτε στον ιστότοπο, κάντε κλικ στο Λήψη^(Download) στο επάνω μέρος και, στη συνέχεια, κάντε κλικ στο chkrootkit πιο πρόσφατο Source tarball^{(chkrootkit latest Source tarball)} για λήψη του αρχείου tar.gz.

Μεταβείτε στο φάκελο " Λήψεις " στο ^(Downloads)Mac σας και κάντε διπλό κλικ στο αρχείο. Αυτό θα το αποσυμπιέσει^{(uncompress it)} και θα δημιουργήσει έναν φάκελο στο Finder που ονομάζεται chkrootkit-0.XX . Τώρα ανοίξτε ένα παράθυρο τερματικού^(Terminal) και μεταβείτε στον ασυμπίεστο κατάλογο.

Βασικά, κάνετε cd στον κατάλογο Λήψεις^(Downloads) και μετά στο φάκελο chkrootkit. Μόλις φτάσετε εκεί, πληκτρολογήστε την εντολή για να φτιάξετε το πρόγραμμα:

sudo make sense

Δεν χρειάζεται να χρησιμοποιήσετε την εντολή sudo εδώ, αλλά επειδή απαιτεί δικαιώματα root για να εκτελεστεί, την έχω συμπεριλάβει. Προτού λειτουργήσει η εντολή, ενδέχεται να λάβετε ένα μήνυμα που λέει ότι πρέπει να εγκατασταθούν τα εργαλεία προγραμματιστή για να χρησιμοποιήσετε την εντολή make .

Προχωρήστε και κάντε κλικ στο Εγκατάσταση^(Install) για να πραγματοποιήσετε λήψη και εγκατάσταση των εντολών. Μόλις ολοκληρωθεί, εκτελέστε ξανά την εντολή. Μπορεί να δείτε ένα σωρό προειδοποιήσεις, κ.λπ., αλλά απλώς αγνοήστε τις. Τέλος, θα πληκτρολογήσετε την ακόλουθη εντολή για να εκτελέσετε το πρόγραμμα:

sudo ./chkrootkit

Θα πρέπει να δείτε κάποια έξοδο όπως αυτό που φαίνεται παρακάτω:

Θα δείτε ένα από τα τρία μηνύματα εξόδου: δεν έχει μολυνθεί^{( not infected)} , δεν έχει δοκιμαστεί^{(not tested)} και δεν βρέθηκε^{(not found)} . Δεν έχει μολυνθεί σημαίνει ότι δεν βρήκε υπογραφή rootkit, δεν βρέθηκε σημαίνει ότι η εντολή προς δοκιμή δεν είναι διαθέσιμη και ότι δεν έχει δοκιμαστεί σημαίνει ότι η δοκιμή δεν πραγματοποιήθηκε για διάφορους λόγους.

Ας ελπίσουμε ότι^(Hopefully) όλα βγαίνουν μη μολυσμένα, αλλά αν δείτε κάποια μόλυνση, τότε το μηχάνημά σας έχει παραβιαστεί^{(machine has been compromised)} . Ο προγραμματιστής του προγράμματος γράφει στο αρχείο README ότι βασικά θα πρέπει να επανεγκαταστήσετε το λειτουργικό σύστημα για να απαλλαγείτε από το rootkit, κάτι που βασικά προτείνω και εγώ.

ESET Rootkit Detector

Το ESET Rootkit Detector^{(ESET Rootkit Detector)} είναι ένα άλλο δωρεάν πρόγραμμα που είναι πολύ πιο εύκολο στη χρήση, αλλά το κύριο μειονέκτημα είναι ότι λειτουργεί μόνο σε OS X 10.6 , 10.7 και 10.8. Λαμβάνοντας υπόψη ότι το OS X^{(OS X)} είναι σχεδόν στο 10.13 αυτή τη στιγμή, αυτό το πρόγραμμα δεν θα είναι χρήσιμο για τους περισσότερους ανθρώπους.

Δυστυχώς, δεν υπάρχουν πολλά προγράμματα εκεί έξω που ελέγχουν για rootkits σε Mac . Υπάρχουν πολλά περισσότερα για Windows και αυτό είναι κατανοητό αφού η βάση χρηστών των Windows είναι πολύ μεγαλύτερη. Ωστόσο, χρησιμοποιώντας τα παραπάνω εργαλεία, θα πρέπει να έχετε μια αξιοπρεπή ιδέα για το εάν είναι εγκατεστημένο ένα rootkit στο μηχάνημά σας. Απολαμβάνω!

How to Check Your Mac for Rootkits

If yоur Mac is acting strangely and you suspect a rootkit, then уou’ll need to get to work downloading and scanning with several diffеrent toolѕ. It’s wоrth notіng that уou could have а rootkit installed and not even know it.

The main distinguishing factor that makes a rootkit special is that it gives someone remote administrator control over your computer without your knowledge. Once someone has access to your computer, they can simply spy on you or they can make any change they want to your computer. The reason why you have to try several different scanners is that rootkits are notoriously hard to detect.

For me, if I even suspect there is a rootkit installed on a client computer, I immediately back up the data and perform a clean install of the operating system. This is obviously easier said than done and it’s not something I recommend everyone do. If you’re not sure if you have a rootkit, it’s best to use the following tools in the hopes of discovering the rootkit. If nothing comes up using multiple tools, you’re probably OK.

If a rootkit is found, it’s up to you to decide whether the removal was successful or whether you should just start from a clean slate. It’s also worth mentioning that since OS X is based on UNIX, a lot of the scanners use the command line and require quite a bit of technical know-how. Since this blog is geared towards beginners, I’m going to try to stick to the easiest tools that you can use to detect rootkits on your Mac.

Malwarebytes for Mac

The most user-friendly program you can use to remove any rootkits from your Mac is Malwarebytes for Mac. It’s not just for rootkits, but also any kind of Mac viruses or malware.

You can download the free trial and use it for up to 30 days. The cost is $40 if you want to purchase the program and get real-time protection. It’s the easiest program to use, but it’s also probably not going to find a really hard-to-detect rootkit, so if you can take the time to use the command line tools below, you’ll get a much better idea of whether or not you have a rootkit.

Rootkit Hunter

Rootkit Hunter is my favorite tool to use on the Mac for finding rootkits. It’s relatively easy to use and the output is very easy to understand. Firstly, go to the download page and click on the green download button.

Go ahead and double-click on the .tar.gz file to unpack it. Then open a Terminal window and navigate to that directory using the CD command.

Once there, you need to run the installer.sh script. To do this, use the following command:

sudo ./installer.sh – install

You’ll be prompted to enter your password to run the script.

If all went well, you should see some lines about the installation starting and directories being created. At the end, it should say Installation Complete.

Before you run the actual rootkit scanner, you have to update the properties file. To do this, you need to type the following command:

sudo rkhunter – propupd

You should get a short message indicating that this process worked. Now you can finally run the actual rootkit check. To do that, use the following command:

sudo rkhunter – check

The first thing it’ll do is check the system commands. For the most part, we want green OKs here and as few red Warnings as possible. Once that is complete, you will press Enter and it’ll start checking for rootkits.

Here you want to ensure all of them say Not Found. If anything comes up red here, you definitely have a rootkit installed. Lastly, it’ll do some checks on the file system, local host, and network. At the very end, it’ll give you a nice summary of the results.

If you want more details about the warnings, type in cd /var/log and then type in sudo cat rkhunter.log to see the entire log file and the explanations for the warnings. You don’t have to worry too much about the commands or startup files messages as those are normally OK. The main thing is that nothing was found when checking for rootkits.

chkrootkit

chkrootkit is a free tool that will locally check for signs of a rootkit. It currently checks for about 69 different rootkits. Go to the site, click on Download at the top and then click on chkrootkit latest Source tarball to download the tar.gz file.

Go to the Downloads folder on your Mac and double-click on the file. This will uncompress it and create a folder in Finder called chkrootkit-0.XX. Now open a Terminal window and navigate to the uncompressed directory.

Basically, you cd into the Downloads directory and then into the chkrootkit folder. Once there, you type in the command to make the program:

sudo make sense

You don’t have to use the sudo command here, but since it requires root privileges to run, I have included it. Before the command will work, you might get a message saying the developer tools need to be installed in order to use the make command.

Go ahead and click on Install to download and install the commands. Once complete, run the command again. You may see a bunch of warnings, etc., but just ignore those. Lastly, you will type the following command to run the program:

sudo ./chkrootkit

You should see some output like what is shown below:

You’ll see one of three output messages: not infected, not tested and not found. Not infected means it didn’t find any rootkit signature, not found means the command to be tested is not available and not tested means the test was not performed due to various reasons.

Hopefully, everything comes out not infected, but if you do see any infection, then your machine has been compromised. The developer of the program writes in the README file that you should basically reinstall the OS in order to get rid of the rootkit, which is basically what I also suggest.

ESET Rootkit Detector

ESET Rootkit Detector is another free program that is much easier to use, but the main downside is that it only works on OS X 10.6, 10.7 and 10.8. Considering OS X is almost to 10.13 right now, this program won’t be helpful for most people.

Unfortunately, there aren’t many programs out there that check for rootkits on Mac. There are a lot more for Windows and that’s understandable since the Windows user base is so much larger. However, using the tools above, you should hopefully get a decent idea of whether or not a rootkit is installed on your machine. Enjoy!

Related posts

• Πώς να αποτρέψετε τον ύπνο του Mac σας

• Πώς να αντιστοιχίσετε ξανά τα πλήκτρα Fn στο Mac σας

• Ορισμένα πλήκτρα στο Mac σας δεν λειτουργούν σωστά;

• 5 τρόποι για να αναγκάσετε να κλείσετε εφαρμογές στο Mac σας

• Πώς να δημιουργήσετε συνδέσμους συμβόλων στο Mac σας

• Πώς να διορθώσετε το Drag & Drop που δεν λειτουργεί σε Mac

• Πώς να ενεργοποιήσετε το κλείδωμα ενεργοποίησης στον υπολογιστή Mac σας

• Τρόπος εγγραφής οθόνης σε Mac

• Πώς να στείλετε κρυπτογραφημένα μηνύματα ηλεκτρονικού ταχυδρομείου από το Mac σας

• Πώς να χρησιμοποιήσετε την κάμερα Continuity σε iOS και OS X

• 20 συμβουλές για να αξιοποιήσετε στο έπακρο το Finder στο Mac

• Πώς να κάνετε πιο δύσκολο για κάποιον να εισβάλει στο Mac σας

• Πώς να διορθώσετε το Google Drive που δεν συγχρονίζεται σε Mac

• Πώς να βρείτε και να αναβαθμίσετε εφαρμογές 32 bit στο Mac σας

• Πώς να απενεργοποιήσετε το iMessage σε Mac

• Πώς να συνδεθείτε σε έναν απομακρυσμένο ή τοπικό διακομιστή σε Mac

• Πώς να εκτυπώσετε σε ασπρόμαυρο σε Mac

• 5 καλύτερες εναλλακτικές εργαλείων αποκοπής για Mac

• Πώς να ενημερώσετε τις εφαρμογές Mac OS X & Mac από το τερματικό

• Πώς να μορφοποιήσετε μια κάρτα SD σε Mac