Если ваш Mac ведет себя странно и вы подозреваете наличие руткита, вам нужно приступить к загрузке и сканированию с помощью нескольких различных инструментов. Стоит отметить, что вы можете иметь установленный руткит и даже не знать об этом.
Главной отличительной чертой руткита является то, что он позволяет удаленному администратору управлять вашим компьютером без вашего ведома. Как только кто-то получит доступ к вашему компьютеру, он может просто шпионить за вами или внести любые изменения в ваш компьютер. Причина, по которой вам нужно попробовать несколько разных сканеров, заключается в том, что руткиты, как известно, трудно обнаружить.
Для меня, если я даже подозреваю, что на клиентском компьютере установлен руткит, я немедленно создаю резервную копию данных и выполняю чистую установку операционной системы. Очевидно, что это легче сказать, чем сделать, и я не рекомендую делать это всем. Если вы не уверены, есть ли у вас руткит, лучше всего использовать следующие инструменты в надежде обнаружить руткит. Если при использовании нескольких инструментов ничего не получается, вероятно, все в порядке.
Если руткит обнаружен, вам решать, было ли удаление успешным или вам следует начать с чистого листа. Также стоит упомянуть, что, поскольку OS X основана на UNIX, многие сканеры используют командную строку и требуют определенных технических знаний. Поскольку этот блог ориентирован на новичков, я постараюсь придерживаться самых простых инструментов, которые вы можете использовать для обнаружения руткитов на вашем Mac.
Malwarebytes для Mac
Самая удобная программа, которую вы можете использовать для удаления любых руткитов с вашего Mac, — это Malwarebytes для Mac. Это касается не только руткитов, но и любых вирусов и вредоносных программ для Mac.
Вы можете загрузить бесплатную пробную версию и использовать ее до 30 дней. Стоимость составляет 40 долларов США, если вы хотите приобрести программу и получить защиту в режиме реального времени. Это самая простая в использовании программа, но она также, вероятно, не найдет действительно трудно обнаруживаемый руткит, поэтому, если вы найдете время, чтобы использовать приведенные ниже инструменты командной строки, вы получите гораздо лучшее представление о том, не у вас руткит.
Охотник за руткитами
Rootkit Hunter — мой любимый инструмент для поиска руткитов на Mac. Он относительно прост в использовании, и вывод очень прост для понимания. Во-первых, перейдите на страницу загрузки и нажмите зеленую кнопку загрузки.
Продолжайте и дважды щелкните файл .tar.gz, чтобы распаковать его. Затем откройте окно терминала и перейдите в этот каталог с помощью команды CD.
Оказавшись там, вам нужно запустить скрипт installer.sh. Для этого используйте следующую команду:
sudo ./installer.sh — установить
Вам будет предложено ввести пароль для запуска скрипта.
Если все прошло хорошо, вы должны увидеть несколько строк о начале установки и создании каталогов. В конце должно быть написано Установка завершена..
Перед запуском настоящего сканера руткитов необходимо обновить файл свойств. Для этого нужно набрать следующую команду:
sudo rkhunter – propupd
Вы должны получить короткое сообщение о том, что этот процесс сработал. Теперь вы, наконец, можете запустить настоящую проверку на наличие руткитов. Для этого используйте следующую команду:
sudo rkhunter – проверить
Первое, что он сделает, это проверит системные команды. По большей части нам нужны зеленые OK здесь и как можно меньше красных Warnings. По завершении нажмите Enter, и программа начнет проверку на наличие руткитов.
Здесь вы должны убедиться, что все они говорят Не найдено Если здесь что-то отображается красным, у вас определенно установлен руткит. Наконец, он проверит файловую систему, локальный хост и сеть.В самом конце вы получите краткий обзор результатов.
Если вам нужны дополнительные сведения о предупреждениях, введите cd /var/log, а затем введите sudo cat rkhunter.log, чтобы просмотреть весь файл журнала и пояснения к предупреждениям. Вам не нужно слишком беспокоиться о командах или сообщениях файлов запуска, поскольку они обычно в порядке. Главное, при проверке на руткиты ничего не обнаружено.
chkrootkit
chkrootkit — это бесплатный инструмент, который локально проверяет наличие признаков руткита. В настоящее время он проверяет около 69 различных руткитов. Перейдите на сайт, нажмите «Загрузить» вверху, а затем нажмите chkrootkit последний tar-архив с исходным кодом, чтобы загрузить файл tar.gz.
Перейдите в папку «Загрузки» на Mac и дважды щелкните файл. Это распакует его и создаст папку в Finder с именем chkrootkit-0.XX. Теперь откройте окно Терминала и перейдите в несжатый каталог.
В основном, вы переходите в каталог Downloads, а затем в папку chkrootkit. Оказавшись там, вы вводите команду для создания программы:
sudo имеет смысл
Вам не нужно использовать здесь команду sudo, но поскольку для ее запуска требуются привилегии root, я включил ее. Прежде чем команда сработает, вы можете получить сообщение о том, что необходимо установить инструменты разработчика, чтобы использовать команду make.
Нажмите Install, чтобы загрузить и установить команды. После завершения снова запустите команду. Вы можете увидеть кучу предупреждений и т. д., но просто игнорируйте их. Наконец, вы должны ввести следующую команду для запуска программы:
sudo ./chkrootkit
Вы должны увидеть что-то вроде того, что показано ниже:
Вы увидите одно из трех выходных сообщений: не заражено, не проверено и not found Незараженный означает, что сигнатуры руткита не обнаружены, не найдено означает, что проверяемая команда недоступна и не проверена означает, что тест не был выполнен по разным причинам.
Надеюсь, все оказалось не зараженным, но если вы все-таки видите какую-либо инфекцию, значит, ваша машина скомпрометирована. Разработчик программы пишет в файле README, что для избавления от руткита в принципе нужно переустановить ОС, что я, в принципе, и предлагаю.
ESET Rootkit Detector
ESET Rootkit Detector — еще одна бесплатная программа, которая намного проще в использовании, но ее главный недостаток заключается в том, что она работает только на OS X 10.6, 10.7 и 10.8. Учитывая, что OS X сейчас почти до версии 10.13, эта программа не будет полезна для большинства людей.
К сожалению, существует не так много программ, которые проверяют наличие руткитов на Mac. Для Windows существует гораздо больше, и это понятно, поскольку пользовательская база Windows намного больше. Однако, используя описанные выше инструменты, вы, надеюсь, должны получить представление о том, установлен ли руткит на вашем компьютере. Наслаждаться!