Én meg azt mondom, hogy néhány rootkit ellenőrzőt futtass végig.
Egyszer réges-régen megtörtént velem, hogy egy gépen fenn volt egy apache, amit nem futtattam. Így nem is frissítettem, meg persze el is felejtettem. Egyik nap a takarítónéni kisöpörte a tápkábelt, majd visszadugta, elindította a gépet, az apache elindult. Akkoriban terjengett a neten pont egy olyab robot, ami az apache egyik hibája miatt root jogot tudott szerezni. 3 órámba került, mire mindent rendbetettem:
Jó kiindulási alap lehet a live CD-t lévő "login" parancs méretösszehasonlítása, stb. Nem emlékszem, mi volt annak a rootkitnek a neve, de elég rafkós volt. A háttérben futtatta magát egy megtévesztő szolgáltatásként, és amint letöröltem valamit a "cuccai" közül, azonnal előkapta az elrejtett csomagjából az idevágó forrást, és újraépítette. Vagyis ezzel azt akarom mondani, hogy előszür azzal kezd, hogy fut-e olyan deamon, ami legfeljebb csak hasonlít valamire, vagy nem is tudod, mit keres ott, és nézdd meg a crontab-ot is.
Szerk.:
Megnéztem a forrásokat: ssh-n ne lépj be, mert az ő sshd-ja fut!