Hvis din Mac opfører sig mærkeligt, og du har mistanke om et rootkit, så skal du i gang med at downloade og scanne med flere forskellige værktøjer. Det er værd at bemærke, at du kan have et rootkit installeret og ikke engang kender det.

Den vigtigste kendetegnende faktor, der gør et rootkit til noget særligt, er, at det giver en fjernadministrator kontrol over din computer uden din viden. Når nogen først har adgang til din computer, kan de blot spionere på dig, eller de kan foretage enhver ændring, de ønsker på din computer. Grunden til at du skal prøve flere forskellige scannere er, at rootkits er notorisk svære at opdage.

For mig, hvis jeg overhovedet har mistanke om, at der er installeret et rootkit på en klientcomputer, sikkerhedskopierer jeg straks dataene og udfører en ren installation af operativsystemet. Dette er naturligvis lettere sagt end gjort, og det er ikke noget, jeg anbefaler alle at gøre. Hvis du ikke er sikker på, om du har et rootkit, er det bedst at bruge følgende værktøjer i håbet om at opdage rootkit. Hvis der ikke dukker noget op ved at bruge flere værktøjer, er du sandsynligvis OK.

Hvis et rootkit bliver fundet, er det op til dig at beslutte, om fjernelsen lykkedes, eller om du bare skal starte fra en ren tavle. Det er også værd at nævne, at da OS X er baseret på UNIX , bruger mange af scannerne kommandolinjen og kræver en del teknisk knowhow. Da denne blog er rettet mod begyndere, vil jeg prøve at holde mig til de nemmeste værktøjer, som du kan bruge til at finde rootkits på din Mac .

Malwarebytes til Mac

Det mest brugervenlige program, du kan bruge til at fjerne eventuelle rootkits fra din Mac , er Malwarebytes til Mac^{(Malwarebytes for Mac)} . Det er ikke kun til rootkits, men også enhver form for Mac - virus eller malware.

Du kan downloade den gratis prøveversion og bruge den i op til 30 dage. Prisen er $40, hvis du vil købe programmet og få beskyttelse i realtid. Det er det nemmeste program at bruge, men det kommer nok heller ikke til at finde et virkelig svært at opdage rootkit, så hvis du kan tage dig tid til at bruge kommandolinjeværktøjerne nedenfor, får du en meget bedre idé om, hvorvidt eller ikke du har et rootkit.

Rootkit Hunter

Rootkit Hunter er mit yndlingsværktøj til at bruge på Mac'en^(Mac) til at finde rootkits. Det er relativt nemt at bruge, og outputtet er meget let at forstå. Gå først til downloadsiden^{(download page)} og klik på den grønne downloadknap.

Gå videre og dobbeltklik på .tar.gz -filen for at pakke den ud. Åbn derefter et terminalvindue^(Terminal) , og naviger til den mappe ved hjælp af CD-kommandoen.

Når du er der, skal du køre scriptet installer.sh. For at gøre dette skal du bruge følgende kommando:

sudo ./installer.sh – install

Du bliver bedt om at indtaste din adgangskode for at køre scriptet.

Hvis alt gik godt, skulle du se nogle linjer om installationens start og mapper, der oprettes. Til sidst skal der stå Installation Complete .

Før du kører selve rootkit-scanneren, skal du opdatere egenskabsfilen. For at gøre dette skal du skrive følgende kommando:

sudo rkhunter – propupd

Du bør få en kort besked, der indikerer, at denne proces fungerede. Nu kan du endelig køre selve rootkit-tjekket. For at gøre det skal du bruge følgende kommando:

sudo rkhunter – check

Den første ting, den vil gøre, er at kontrollere systemkommandoerne. For det meste ønsker vi grønne OK'er^(OKs) her og så få røde advarsler^(Warnings) som muligt. Når det er fuldført, vil du trykke på Enter , og det vil begynde at søge efter rootkits.

Her vil du sikre dig, at alle siger Ikke fundet^{(Not Found)} . Hvis noget bliver rødt her, har du helt sikkert et rootkit installeret. Til sidst vil den foretage nogle kontroller på filsystemet, den lokale vært og netværket. Til allersidst vil det give dig en flot oversigt over resultaterne.

Hvis du vil have flere detaljer om advarslerne, skal du indtaste cd /var/log og derefter indtaste sudo cat rkhunter.log for at se hele logfilen og forklaringerne til advarslerne. Du behøver ikke bekymre dig for meget om kommandoerne eller meddelelserne om startfiler, da de normalt er OK. Det vigtigste er, at der ikke blev fundet noget, når der blev tjekket for rootkits.

chkrootkit

chkrootkit er et gratis værktøj, der lokalt vil tjekke for tegn på et rootkit. Den søger i øjeblikket efter omkring 69 forskellige rootkits. Gå til webstedet, klik på Download øverst og klik derefter på chkrootkit nyeste kilde tarball^{(chkrootkit latest Source tarball)} for at downloade tar.gz-filen.

Gå til mappen Downloads på din Mac og dobbeltklik på filen. Dette vil komprimere den^{(uncompress it)} og oprette en mappe i Finder kaldet chkrootkit-0.XX . Åbn nu et terminalvindue^(Terminal) og naviger til den ukomprimerede mappe.

Grundlæggende cd'er du ind i mappen Downloads og derefter ind i chkrootkit-mappen. Når du er der, skriver du kommandoen for at lave programmet:

sudo make sense

Du behøver ikke bruge sudo- kommandoen her, men da den kræver root-privilegier for at køre, har jeg inkluderet den. Før kommandoen virker, får du muligvis en besked om, at udviklerværktøjerne skal installeres for at bruge kommandoen make .

Gå videre og klik på Installer^(Install) for at downloade og installere kommandoerne. Når du er færdig, skal du køre kommandoen igen. Du kan muligvis se en masse advarsler osv., men ignorer dem bare. Til sidst skal du skrive følgende kommando for at køre programmet:

sudo ./chkrootkit

Du bør se noget output som det, der er vist nedenfor:

Du vil se en af ​​tre outputmeddelelser: ikke inficeret^{( not infected)} , ikke testet^{(not tested)} og ikke fundet^{(not found)} . Ikke inficeret betyder, at den ikke fandt nogen rootkit-signatur, ikke fundet betyder, at kommandoen, der skal testes, ikke er tilgængelig, og ikke testet betyder, at testen ikke blev udført af forskellige årsager.

Forhåbentlig^(Hopefully) kommer alt ud ikke inficeret, men hvis du ser nogen infektion, så er din maskine blevet kompromitteret^{(machine has been compromised)} . Udvikleren af ​​programmet skriver i README -filen, at du som udgangspunkt skal geninstallere OS for at slippe af med rootkittet, hvilket i bund og grund også er det, jeg foreslår.

ESET Rootkit Detector

ESET Rootkit Detector er et andet gratis program, der er meget nemmere at bruge, men den største ulempe er, at det kun virker på OS X 10.6 , 10.7 og 10.8. I betragtning af at OS X er næsten til 10.13 lige nu, vil dette program ikke være nyttigt for de fleste mennesker.

Desværre er der ikke mange programmer derude, der søger efter rootkits på Mac . Der er meget mere til Windows , og det er forståeligt, da Windows -brugerbasen er så meget større. Men ved at bruge værktøjerne ovenfor, bør du forhåbentlig få en anstændig idé om, hvorvidt et rootkit er installeret på din maskine. God fornøjelse!

How to Check Your Mac for Rootkits

If yoυr Mac is acting strangely and you suspect a rootkit, then you’ll need to get to work downloading and scanning with sevеral different tools. It’s worth noting that you could hаve a rootkit installed and not even know it.

The main distinguishing factor that makes a rootkit special is that it gives someone remote administrator control over your computer without your knowledge. Once someone has access to your computer, they can simply spy on you or they can make any change they want to your computer. The reason why you have to try several different scanners is that rootkits are notoriously hard to detect.

For me, if I even suspect there is a rootkit installed on a client computer, I immediately back up the data and perform a clean install of the operating system. This is obviously easier said than done and it’s not something I recommend everyone do. If you’re not sure if you have a rootkit, it’s best to use the following tools in the hopes of discovering the rootkit. If nothing comes up using multiple tools, you’re probably OK.

If a rootkit is found, it’s up to you to decide whether the removal was successful or whether you should just start from a clean slate. It’s also worth mentioning that since OS X is based on UNIX, a lot of the scanners use the command line and require quite a bit of technical know-how. Since this blog is geared towards beginners, I’m going to try to stick to the easiest tools that you can use to detect rootkits on your Mac.

Malwarebytes for Mac

The most user-friendly program you can use to remove any rootkits from your Mac is Malwarebytes for Mac. It’s not just for rootkits, but also any kind of Mac viruses or malware.

You can download the free trial and use it for up to 30 days. The cost is $40 if you want to purchase the program and get real-time protection. It’s the easiest program to use, but it’s also probably not going to find a really hard-to-detect rootkit, so if you can take the time to use the command line tools below, you’ll get a much better idea of whether or not you have a rootkit.

Rootkit Hunter

Rootkit Hunter is my favorite tool to use on the Mac for finding rootkits. It’s relatively easy to use and the output is very easy to understand. Firstly, go to the download page and click on the green download button.

Go ahead and double-click on the .tar.gz file to unpack it. Then open a Terminal window and navigate to that directory using the CD command.

Once there, you need to run the installer.sh script. To do this, use the following command:

sudo ./installer.sh – install

You’ll be prompted to enter your password to run the script.

If all went well, you should see some lines about the installation starting and directories being created. At the end, it should say Installation Complete.

Before you run the actual rootkit scanner, you have to update the properties file. To do this, you need to type the following command:

sudo rkhunter – propupd

You should get a short message indicating that this process worked. Now you can finally run the actual rootkit check. To do that, use the following command:

sudo rkhunter – check

The first thing it’ll do is check the system commands. For the most part, we want green OKs here and as few red Warnings as possible. Once that is complete, you will press Enter and it’ll start checking for rootkits.

Here you want to ensure all of them say Not Found. If anything comes up red here, you definitely have a rootkit installed. Lastly, it’ll do some checks on the file system, local host, and network. At the very end, it’ll give you a nice summary of the results.

If you want more details about the warnings, type in cd /var/log and then type in sudo cat rkhunter.log to see the entire log file and the explanations for the warnings. You don’t have to worry too much about the commands or startup files messages as those are normally OK. The main thing is that nothing was found when checking for rootkits.

chkrootkit

chkrootkit is a free tool that will locally check for signs of a rootkit. It currently checks for about 69 different rootkits. Go to the site, click on Download at the top and then click on chkrootkit latest Source tarball to download the tar.gz file.

Go to the Downloads folder on your Mac and double-click on the file. This will uncompress it and create a folder in Finder called chkrootkit-0.XX. Now open a Terminal window and navigate to the uncompressed directory.

Basically, you cd into the Downloads directory and then into the chkrootkit folder. Once there, you type in the command to make the program:

sudo make sense

You don’t have to use the sudo command here, but since it requires root privileges to run, I have included it. Before the command will work, you might get a message saying the developer tools need to be installed in order to use the make command.

Go ahead and click on Install to download and install the commands. Once complete, run the command again. You may see a bunch of warnings, etc., but just ignore those. Lastly, you will type the following command to run the program:

sudo ./chkrootkit

You should see some output like what is shown below:

You’ll see one of three output messages: not infected, not tested and not found. Not infected means it didn’t find any rootkit signature, not found means the command to be tested is not available and not tested means the test was not performed due to various reasons.

Hopefully, everything comes out not infected, but if you do see any infection, then your machine has been compromised. The developer of the program writes in the README file that you should basically reinstall the OS in order to get rid of the rootkit, which is basically what I also suggest.

ESET Rootkit Detector

ESET Rootkit Detector is another free program that is much easier to use, but the main downside is that it only works on OS X 10.6, 10.7 and 10.8. Considering OS X is almost to 10.13 right now, this program won’t be helpful for most people.

Unfortunately, there aren’t many programs out there that check for rootkits on Mac. There are a lot more for Windows and that’s understandable since the Windows user base is so much larger. However, using the tools above, you should hopefully get a decent idea of whether or not a rootkit is installed on your machine. Enjoy!

Related posts

• Sådan forhindrer du din Mac i at sove

• Sådan omdannes Fn-taster på din Mac

• Visse taster på din Mac fungerer ikke korrekt?

• 5 måder at tvinge apps til at afslutte på din Mac

• Sådan opretter du symbolske links på din Mac

• 5 apps, der vil tage din nye Mac til det næste niveau

• Mac-tastaturgenveje, når din Mac fryser

• Sådan aktiverer du aktiveringslås på din Mac-computer

• Sådan rettes træk og slip, der ikke virker på Mac

• Se gemte Wi-Fi-adgangskoder (WPA, WEP) på OS X

• 20 tips til at få mest muligt ud af Finder på Mac

• Sådan erstattes og flettes filer på Mac

• Sådan masseomdøbes filer på din Mac

• Sådan aktiverer og bruger du 'Billede i billede'-tilstand på din Mac

• 15 tips til at forlænge batterilevetiden på Mac

• Sådan opretter du et krypteret diskbillede i OS X

• Skift eller forfalske en MAC-adresse i Windows eller OS X

• Sådan slukker du iMessage på Mac

• Sådan redigeres værtsfilen på Mac

• Sådan udskriver du i sort/hvid på Mac