Come scansionare un Mac per rootkit e altri pericoli di sicurezza furtivi

5

Sto cercando di acquistare un Mac di seconda mano, probabilmente uno che non include un disco di installazione del sistema operativo. Come posso scannerizzarlo per assicurarmi che non abbia installato minacce alla sicurezza? C'è un'immagine CD o DVD con cui posso avviarla per eseguire questa scansione offline?

Modifica : la macchina potenziale sarebbe un MacBook Pro vintage 2011 o 2012.

Si noti inoltre che non ho accesso affidabile a Internet ad alta velocità, quindi le soluzioni che implicano il download di 5 GB su Internet non sono l'ideale. Per gli altri, tuttavia, questa guida alla creazione di un Maverick avviabile il supporto per l'installazione potrebbe essere utile.

    
posta intuited 26.06.2014 - 23:39
fonte

2 risposte

5

Ho finito per utilizzare un secondo Mac per eseguire una scansione con la macchina discutibile avviata in modalità disco di destinazione .

La mia procedura di scansione effettiva era

0) (fatto prima di utilizzare la modalità disco di destinazione) aggiorna il sistema e le app su entrambe le macchine alle versioni correnti

1) confronta i file su entrambe le macchine utilizzando questo script:

DIRS=(Applications Library mach_kernel bin "private/etc" sbin usr);
# leaving out /opt as it seems to just contain MacPorts stuff

for dir in "${DIRS[@]}"; do
  # diff: recursive, just output whether files differ
  diff -r -q --speed-large-files "$1/$dir" "$2/$dir";
done;

1.1) Ho usato un editor di testo potente (vim) per dare un senso all'output. La mia strategia di base era quella di organizzare le righe di output in base al primo paio di livelli della struttura delle directory utilizzando la piegatura del codice basata su indent. Questa tecnica richiede conoscenze informatiche generali e specifiche di POSIX-ish, in particolare per differenziare le differenze "giuste" dalle differenze potenzialmente pericolose.

2) Ho eseguito chkrootkit utilizzando il comando

sudo ./chkrootkit -q -r /Volumes/system/

2.1) chkrootkit ha prodotto il seguente output. Queste indicazioni sembrano essere dovute all'esecuzione della scansione su un disco di destinazione e / oa causa di differenze tra i vari sistemi operativi supportati da chkrootkit .

error: /Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/bin/strings: can't map file: /Volumes/system/ (Invalid argument)
error: /Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/bin/strings: can't map file: /Volumes/system/ (Invalid argument)
not tested
not tested
unable to open wtmp-file /Volumes/system/wtmp
not tested: not found wtmp and/or lastlog file

2.2) Per ottenere chkrootkit da compilare, ho dovuto decommentare una riga in Makefile . È chiaramente indicato in Makefile . Vedi qui per ulteriori informazioni.

SOMMARIO

Mi sento abbastanza sicuro che si trattava di una scansione efficace (dato lo stato pulito del sistema di scansione). Tuttavia, ci sono alcuni aspetti negativi di questo metodo:

  • Presume che il computer di scansione sia pulito
  • Richiede un altro Mac (ovviamente)
  • Può essere dolorosamente difficile trovare un cavo Firewire da 9 pin a 9 pin

Nel caso in cui non si disponga di un Mac aggiuntivo, ecco un paio di alternative a questo approccio:

  • È possibile installare una installazione pulita di OSX su un'unità USB. Per fare ciò, si avvia la macchina tenendo premuto command-option-R per fare un ripristino Internet . Ciò ignora il contenuto del disco e utilizza il codice del firmware per installare OSX dai server Apple. Apparentemente puoi semplicemente collegare un drive USB e scegliere questo come target di installazione; successivamente è possibile avviare la macchina dall'unità USB ed eseguire scansioni sull'unità di sistema. Il rovescio della medaglia è che questo è un download di > 5GB, quindi è meglio avere una connessione Internet veloce (o un po 'di pazienza).

  • Avrei anche potuto estrarre l'unità dalla macchina e inserirla in una custodia per disco rigido. I vantaggi qui sono che non avrei dovuto usare un Mac per scansionarlo e che non avrei dovuto trovare un cavo Firewire da 9 pin a 9 pin. Naturalmente, se non avessi usato un Mac per scansionarlo, non sarei stato in grado di usare il mio primo metodo di scansione (il diff ).

risposta data 28.06.2014 - 17:52
fonte
2

Ecco una ricetta per chi già conosce Macports o desidera iniziare con:

  1. Crea un nuovo utente amministratore e accedi con esso
  2. Installa il compilatore C più recente tramite Xcode
  3. Installa MacPorts: link (2.3.0)
  4. Installa clamav (0.98.3) e chkrootkit (0.49)
  5. Esegui entrambi gli strumenti:

    /usr/bin/sudo /opt/local/bin/clamscan --bell -l ~/tmp/clam.'date +%d-%m-%Y'.log -r /
    /usr/bin/sudo /opt/local/bin/chkrootkit
    

    (Quando non sai su quale ghiaccio stai camminando, è più sicuro usare percorsi espliciti).

risposta data 28.06.2014 - 16:23
fonte

Leggi altre domande sui tag