אם ה-Mac שלך מתנהג בצורה מוזרה ואתה חושד ב-rootkit, אז תצטרך להתחיל לעבוד בהורדה וסריקה עם כמה כלים שונים. ראוי לציין שייתכן שתתקין ערכת שורש ואפילו לא תדע אותה.
הגורם המבחין העיקרי שהופך ערכת rootkit למיוחדת הוא שהיא נותנת למישהו מנהל מרחוק שליטה על המחשב שלך ללא ידיעתך. ברגע שלמישהו יש גישה למחשב שלך, הוא יכול פשוט לרגל אחריך או שהוא יכול לבצע כל שינוי שהוא רוצה במחשב שלך. הסיבה שבגללה אתה צריך לנסות כמה סורקים שונים היא ש-Rootkits ידוע לשמצה שקשה לזהות.
מבחינתי, אם אני בכלל חושד שיש rootkit מותקן על מחשב לקוח, אני מיד מגבה את הנתונים ומבצע התקנה נקייה של מערכת ההפעלה. ברור שזה קל יותר לומר מאשר לעשות וזה לא משהו שאני ממליץ לכולם לעשות. אם אינך בטוח אם יש לך rootkit, עדיף להשתמש בכלים הבאים בתקווה לגלות את rootkit. אם שום דבר לא מופיע באמצעות כלים מרובים, כנראה שאתה בסדר.
אם נמצא ערכת rootkit, זה תלוי בך להחליט אם ההסרה הצליחה או שאתה פשוט צריך להתחיל מדף נקי. כדאי גם להזכיר שמכיוון ש-OS X מבוססת על UNIX, הרבה מהסורקים משתמשים בשורת הפקודה ודורשים לא מעט ידע טכני. מכיוון שהבלוג הזה מיועד למתחילים, אני הולך לנסות להיצמד לכלים הקלים ביותר שבהם אתה יכול להשתמש כדי לזהות rootkits ב-Mac שלך.
Malwarebytes עבור Mac
התוכנית הידידותית ביותר למשתמש שבה אתה יכול להשתמש כדי להסיר כל Rootkits מה-Mac שלך היא Malwarebytes for Mac. זה לא מיועד רק ל-rootkits, אלא גם לכל סוג של וירוסי Mac או תוכנות זדוניות.
תוכל להוריד את גרסת הניסיון בחינם ולהשתמש בה עד 30 יום. העלות היא $40 אם אתה רוצה לרכוש את התוכנית ולקבל הגנה בזמן אמת. זו התוכנה הקלה ביותר לשימוש, אבל היא גם כנראה לא תמצא רוטקיט שממש קשה לזיהוי, כך שאם אתה יכול לקחת את הזמן להשתמש בכלי שורת הפקודה למטה, תקבל מושג הרבה יותר טוב אם או אין לך rootkit.
Rootkit Hunter
Rootkit Hunter הוא הכלי המועדף עלי לשימוש ב-Mac למציאת ערכות שורש. זה קל יחסית לשימוש והפלט קל מאוד להבנה. ראשית, עבור לדף ההורדה ולחץ על כפתור ההורדה הירוק.
קדימה ולחץ פעמיים על הקובץ .tar.gz כדי לפרוק אותו. לאחר מכן פתח חלון מסוף ונווט אל הספרייה הזו באמצעות הפקודה CD.
כשאתה שם, עליך להפעיל את הסקריפט installer.sh. כדי לעשות זאת, השתמש בפקודה הבאה:
sudo ./installer.sh – install
תתבקש להזין את הסיסמה שלך כדי להפעיל את הסקריפט.
אם הכל הלך כשורה, אתה אמור לראות כמה שורות לגבי התחלת ההתקנה והספריות שנוצרות. בסוף אמור להיות כתוב Installation Complete.
לפני שתפעיל את סורק ה-rootkit בפועל, עליך לעדכן את קובץ המאפיינים. כדי לעשות זאת, עליך להקליד את הפקודה הבאה:
sudo rkhunter – propupd
אתה אמור לקבל הודעה קצרה המציינת שהתהליך הזה עבד. עכשיו אתה סוף סוף יכול להפעיל את בדיקת ה-rootkit בפועל. כדי לעשות זאת, השתמש בפקודה הבאה:
sudo rkhunter – check
הדבר הראשון שהוא יעשה הוא לבדוק את פקודות המערכת. לרוב, אנחנו רוצים בסדר ירוקים כאן וכמה שפחות אזהרות. לאחר השלמתו, תלחץ Enter וזה יתחיל לחפש rootkits.
כאן אתה רוצה לוודא שכולם אומרים Not Found אם משהו מופיע כאן באדום, בהחלט מותקנת לך ערכת שורש. לבסוף, זה יבצע כמה בדיקות על מערכת הקבצים, המארח המקומי והרשת.בסוף זה ייתן לך סיכום יפה של התוצאות.
אם אתה רוצה פרטים נוספים על האזהרות, הקלד cd /var/log ולאחר מכן הקלד sudo cat rkhunter.log כדי לראות את כל קובץ היומן ואת ההסברים לאזהרות. אתה לא צריך לדאוג יותר מדי לגבי הפקודות או הודעות קבצי האתחול מכיוון שבדרך כלל אלה בסדר. העיקר שלא נמצא דבר בעת בדיקת rootkits.
chkrootkit
chkrootkit הוא כלי חינמי שיבדוק מקומית אם יש סימנים של rootkit. כרגע הוא בודק כ-69 ערכות שורש שונות. עבור לאתר, לחץ על הורד בחלק העליון ולאחר מכן לחץ על chkrootkit latest Source tarball כדי להוריד את הקובץ tar.gz.
עבור לתיקיית ההורדות ב-Mac ולחץ פעמיים על הקובץ. פעולה זו תבטל את הדחיסה ותיצור תיקיה ב-Finder בשם chkrootkit-0.XX. כעת פתחו חלון מסוף ונווט אל הספרייה הלא דחוסה.
בעיקרון, אתה מתקליט לתוך ספריית ההורדות ולאחר מכן לתוך תיקיית chkrootkit. כששם, אתה מקליד את הפקודה כדי ליצור את התוכנית:
סודו הגיוני
אין צורך להשתמש בפקודה sudo כאן, אבל מכיוון שהיא דורשת הרשאות שורש להפעלה, כללתי אותה. לפני שהפקודה תפעל, ייתכן שתקבל הודעה לפיה יש להתקין את כלי המפתחים כדי להשתמש בפקודה make.
קדימה ולחץ על Install כדי להוריד ולהתקין את הפקודות. לאחר השלמתו, הפעל שוב את הפקודה. אולי תראה חבורה של אזהרות וכו', אבל פשוט תתעלם מהן. לבסוף, תקליד את הפקודה הבאה כדי להפעיל את התוכנית:
sudo ./chkrootkit
אתה אמור לראות פלט כמו מה שמוצג למטה:
תראה אחת משלוש הודעות פלט: לא נגוע, לא נבדק ו-לא נמצא לא נגוע פירושו שהוא לא מצא חתימת rootkit, לא נמצא פירושו שהפקודה לבדיקה אינה זמינה ולא נבדקה פירושו שהבדיקה לא בוצעה מסיבות שונות.
אני מקווה שהכל יצא לא נגוע, אבל אם אתה רואה זיהום כלשהו, אז המכשיר שלך נפרץ. מפתח התוכנה כותב בקובץ README שבעצם צריך להתקין מחדש את מערכת ההפעלה כדי להיפטר מה-rootkit, וזה בעצם גם מה שאני מציע.
ESET Rootkit Detector
ESET Rootkit Detector היא עוד תוכנה חינמית שהרבה יותר קלה לשימוש, אבל החיסרון העיקרי הוא שהיא פועלת רק ב-OS X 10.6, 10.7 ו-10.8. בהתחשב ב-OS X כמעט עד 10.13 כרגע, תוכנית זו לא תועיל לרוב האנשים.
למרבה הצער, אין הרבה תוכניות שמחפשות Rootkits ב-Mac. יש הרבה יותר עבור Windows וזה מובן מכיוון שבסיס המשתמשים של Windows הוא הרבה יותר גדול. עם זאת, באמצעות הכלים שלמעלה, אתה אמור לקוות לקבל מושג הגון אם מותקנת או לא rootkit במחשב שלך. תהנה!
