Ось, що можна спробувати перед перезавантаженням:
Перш за все, якщо ви думаєте, що вас можуть зіпсувати, відключіть мережевий кабель, щоб машина не могла завдати подальшої шкоди.
Тоді, якщо можливо, утримайтеся від перезавантаження , стільки слідів зловмисника можна видалити шляхом повторного завантаження.
Якщо ви заздалегідь задумалися і у вас був віддалений журнал , використовуйте свої віддалені журнали, а не ті, які є на машині, оскільки комусь надто просто підробляти журнали на машині. Але якщо у вас немає віддалених журналів, ретельно вивчіть локальні.
Перевірте dmesg , оскільки це також буде замінено при перезавантаженні.
У Linux можливо мати запущені програми - навіть після видалення запущеного файлу. Перевірте їх за допомогою командного файлу / proc / [0-9] * / exe | grep "(видалено)" . (вони, звичайно, зникають при перезавантаженні). Якщо ви хочете зберегти копію запущеної програми на диску, використовуйте / bin / dd, якщо = / proc / ім'я файлу / exe = ім'я файлу
Якщо вам відомі хороші копії того, хто / ps / ls / netstat, використовуйте ці інструменти, щоб вивчити, що відбувається в коробці. Зауважте, що якщо встановлено руткіт , ці утиліти зазвичай замінюються копіями, які не дають точної інформації.