Kung ang iyong Mac ay kumikilos nang kakaiba at pinaghihinalaan mo ang isang rootkit, kakailanganin mong magtrabaho sa pag-download at pag-scan gamit ang ilang iba't ibang tool. Dapat tandaan na maaari kang magkaroon ng rootkit na naka-install at hindi mo ito alam.
Ang pangunahing dahilan kung bakit nagiging espesyal ang rootkit ay ang pagbibigay nito sa isang tao ng malayuang kontrol ng administrator sa iyong computer nang hindi mo nalalaman. Kapag ang isang tao ay may access sa iyong computer, maaari silang mag-espiya sa iyo o maaari silang gumawa ng anumang pagbabago na gusto nila sa iyong computer. Ang dahilan kung bakit kailangan mong subukan ang maraming iba't ibang mga scanner ay ang mga rootkit ay kilalang-kilala na mahirap makita.
Para sa akin, kung maghinala man ako na mayroong rootkit na naka-install sa isang client computer, agad kong bina-back up ang data at nagsasagawa ng malinis na pag-install ng operating system. Ito ay malinaw na mas madaling sabihin kaysa gawin at hindi ito isang bagay na inirerekomenda kong gawin ng lahat. Kung hindi ka sigurado kung mayroon kang rootkit, pinakamahusay na gamitin ang mga sumusunod na tool sa pag-asang matuklasan ang rootkit. Kung walang lumabas gamit ang maraming tool, malamang OK ka.
Kung may nakitang rootkit, nasa sa iyo na magpasya kung matagumpay ang pag-alis o kung dapat kang magsimula sa malinis na talaan. Nararapat ding banggitin na dahil ang OS X ay batay sa UNIX, maraming mga scanner ang gumagamit ng command line at nangangailangan ng kaunting teknikal na kaalaman. Dahil ang blog na ito ay nakatuon sa mga nagsisimula, susubukan kong manatili sa pinakamadaling tool na magagamit mo upang makita ang mga rootkit sa iyong Mac.
Malwarebytes para sa Mac
Ang pinaka-user-friendly na program na magagamit mo upang alisin ang anumang mga rootkit sa iyong Mac ay Malwarebytes para sa Mac. Ito ay hindi lamang para sa mga rootkit, kundi pati na rin sa anumang uri ng Mac virus o malware.
Maaari mong i-download ang libreng pagsubok at gamitin ito nang hanggang 30 araw. Ang halaga ay $40 kung gusto mong bilhin ang programa at makakuha ng real-time na proteksyon. Ito ang pinakamadaling programa na gamitin, ngunit malamang na hindi rin ito makakahanap ng talagang mahirap matukoy na rootkit, kaya kung maaari kang maglaan ng oras upang gamitin ang mga tool sa command line sa ibaba, makakakuha ka ng mas mahusay na ideya kung o wala kang rootkit.
Rootkit Hunter
Rootkit Hunter ang paborito kong tool na gagamitin sa Mac para sa paghahanap ng mga rootkit. Ito ay medyo madaling gamitin at ang output ay napakadaling maunawaan. Una, pumunta sa pahina ng pag-download at mag-click sa berdeng pindutan ng pag-download.
Sige at i-double click ang .tar.gz file para i-unpack ito. Pagkatapos ay magbukas ng Terminal window at mag-navigate sa direktoryo na iyon gamit ang CD command.
Pag naroon, kailangan mong patakbuhin ang installer.sh script. Upang gawin ito, gamitin ang sumusunod na command:
sudo ./installer.sh – i-install
Ipo-prompt kang ilagay ang iyong password para patakbuhin ang script.
Kung naging maayos ang lahat, dapat mong makita ang ilang linya tungkol sa pagsisimula ng pag-install at mga direktoryo na ginagawa. Sa dulo, dapat itong magsabing Kumpleto na ang Pag-install.
Bago mo patakbuhin ang aktwal na rootkit scanner, kailangan mong i-update ang properties file. Upang gawin ito, kailangan mong i-type ang sumusunod na command:
sudo rkhunter – propupd
Dapat kang makatanggap ng maikling mensahe na nagsasaad na gumana ang prosesong ito. Ngayon ay maaari mo nang patakbuhin ang aktwal na pagsusuri sa rootkit. Upang gawin iyon, gamitin ang sumusunod na command:
sudo rkhunter – suriin
Ang unang gagawin nito ay suriin ang mga command ng system. Para sa karamihan, gusto namin ang berdeng OKs dito at kaunting pula Mga Babala hangga't maaari. Kapag nakumpleto na iyon, pipindutin mo ang Enter at magsisimula itong maghanap ng mga rootkit.
Dito mo gustong matiyak na lahat sila ay nagsasabi na Not Found Kung may lumabas na pula dito, siguradong may naka-install na rootkit. Panghuli, gagawa ito ng ilang pagsusuri sa file system, lokal na host, at network.Sa pinakadulo, bibigyan ka nito ng magandang buod ng mga resulta.
Kung gusto mo ng higit pang mga detalye tungkol sa mga babala, i-type ang cd /var/log at pagkatapos ay i-type ang sudo cat rkhunter.log upang makita ang buong log file at ang mga paliwanag para sa mga babala. Hindi mo kailangang mag-alala nang labis tungkol sa mga utos o mga mensahe ng startup file dahil karaniwan nang OK ang mga iyon. Ang pangunahing bagay ay walang nakita kapag nagsusuri ng mga rootkit.
chkrootkit
Angchkrootkit ay isang libreng tool na lokal na magsusuri ng mga palatandaan ng rootkit. Kasalukuyang sinusuri nito ang tungkol sa 69 iba't ibang rootkit. Pumunta sa site, i-click ang Download sa itaas at pagkatapos ay i-click ang chkrootkit latest Source tarball para i-download ang tar.gz file.
Pumunta sa folder ng Downloads sa iyong Mac at i-double click ang file. Ia-uncompress ito at gagawa ng folder sa Finder na tinatawag na chkrootkit-0.XX. Magbukas ngayon ng Terminal window at mag-navigate sa hindi naka-compress na direktoryo.
Sa pangkalahatan, nag-cd ka sa direktoryo ng Mga Download at pagkatapos ay sa folder ng chkrootkit. Pagdating doon, i-type mo ang command para gawin ang program:
sudo make sense
Hindi mo kailangang gamitin ang sudo command dito, ngunit dahil nangangailangan ito ng root privileges para tumakbo, isinama ko ito. Bago gumana ang command, maaari kang makatanggap ng mensahe na nagsasabing kailangang i-install ang mga tool ng developer para magamit ang make command.
Sige at mag-click sa Install upang i-download at i-install ang mga command. Kapag kumpleto na, patakbuhin muli ang command. Maaari kang makakita ng isang grupo ng mga babala, atbp., ngunit huwag pansinin ang mga iyon. Panghuli, ita-type mo ang sumusunod na command para patakbuhin ang program:
sudo ./chkrootkit
Dapat mong makita ang ilang output tulad ng ipinapakita sa ibaba:
Makikita mo ang isa sa tatlong output na mensahe: hindi infected, not tested at not found Not infected ay nangangahulugang wala itong nakitang rootkit signature, not found ibig sabihin ang command na susuriin ay hindi available at hindi susubukan ibig sabihin hindi naisagawa ang pagsusulit dahil sa iba't ibang dahilan.
Sana, lahat ng bagay ay lumabas na hindi nahawaan, ngunit kung makakita ka ng anumang impeksyon, kung gayon ang iyong makina ay nakompromiso. Ang nag-develop ng programa ay nagsusulat sa README file na dapat mong i-install muli ang OS upang maalis ang rootkit, na karaniwang iminumungkahi ko rin.
ESET Rootkit Detector
Ang ESET Rootkit Detector ay isa pang libreng program na mas madaling gamitin, ngunit ang pangunahing downside ay gumagana lamang ito sa OS X 10.6, 10.7 at 10.8. Isinasaalang-alang na ang OS X ay halos 10.13 na ngayon, ang program na ito ay hindi makakatulong para sa karamihan ng mga tao.
Sa kasamaang palad, walang maraming program doon na nagsusuri ng mga rootkit sa Mac. Marami pa para sa Windows at naiintindihan iyon dahil mas malaki ang base ng gumagamit ng Windows. Gayunpaman, gamit ang mga tool sa itaas, sana ay makakuha ka ng disenteng ideya kung naka-install o hindi ang rootkit sa iyong makina. Enjoy!