Kannattaa tarkastaa järjestelmä myös rootkittien varalta. Eli kannattaa asentaa chkrootkit ja rkhunter (molemmat taitavat löytyä pakettivarastosta)
Paras nuo tietysti olisi ajaa joltain LiveCDltä (esim HELIX). Ainahan on mahdollisuus että binäärejä on korvailtu. Tai että ytimeen on ladattu tiedostoja/verkkoyhteyksiä ym. piilotteleva moduuli.
Ja totta tosiaan: logit kannattaa tarkistaa. Kannattaa myös selata läpi käyttäjien .bash_history (löytyy käyttäjän kotikansiosta) josta näkee viimeisimmät komennot jotka on ajettu.
Muutama hyödyllinen komento:
ps aux
- Näyttää kaikki prosessit
netstat -natup
-Antaa tietoa verkkoyhteyksistä
lsof -i
-Näyttää millä prosesseilla on verkkoyhteyksiä auki
nmap -v -p1-65535 localhost
-Käy läpi koneen kaikki 65535 mahdollisesti auki olevaa porttia.
Mutta tosiaan, jos ps, netstat ja muut ovat korvattu troijalaisversioilla, eivät nuo komennot anna luotettavia vastauksia.
EDIT: Verkkoyhteyksiä voit seurata esim. tcpdumpilla tai graafisesti Wiresharkilla. Nämä ohjelmat näyttävät kaikki paketit mitkä johtoa pitkin kulkee