Ecco alcune cose da provare prima di riavviare:
Prima di tutto, se pensi di essere compromesso, scollega il cavo di rete in modo che la macchina non possa fare ulteriori danni.
Quindi, se possibile, astenersi dal riavviare , come molte tracce di un intruso possono essere rimosse riavviando.
Se hai pensato in anticipo e disponevi della registrazione remota , utilizza i tuoi registri remoti, non quelli sulla macchina, poiché è troppo facile per qualcuno manomettere i registri sulla macchina. Ma se non si dispone di registri remoti, esaminare attentamente quelli locali.
Controlla dmesg , poiché verrà sostituito anche al riavvio.
In linux è possibile avere programmi in esecuzione - anche dopo che il file in esecuzione è stato eliminato. Controllare questi con il file di comando / proc / [0-9] * / exe | grep "(cancellato)" . (questi scompaiono al riavvio, ovviamente). Se vuoi salvare una copia del programma in esecuzione su disco, usa / bin / dd se = / proc / nomefile / exe di = nomefile
Se hai conosciuto buone copie di who / ps / ls / netstat, usa questi strumenti per esaminare cosa sta succedendo sulla confezione. Si noti che se è stato installato un rootkit , queste utilità vengono solitamente sostituite con copie che non forniranno informazioni accurate.