Voici quelques choses à essayer avant de redémarrer:
Tout d'abord, si vous pensez que vous pourriez être compromis, débranchez votre câble réseau afin que la machine ne puisse pas endommager davantage.
Ensuite, si possible, abstenez-vous de redémarrer , car de nombreuses traces d'un intrus peuvent être supprimées en redémarrant.
Si vous avez pensé à l'avance et que la journalisation à distance était en place, utilisez vos journaux à distance, pas ceux de la machine, car il est trop facile pour quelqu'un de falsifier les journaux de la machine. Mais si vous n'avez pas de journaux distants, examinez attentivement les journaux locaux.
Vérifiez dmesg , car il sera également remplacé lors du redémarrage.
Sous Linux, il est possible d'avoir des programmes en cours d'exécution - même après la suppression du fichier en cours d'exécution. Vérifiez-les avec le fichier de commandes / proc / [0-9] * / exe | grep "(supprimé)" . (ceux-ci disparaissent au redémarrage, bien sûr). Si vous souhaitez enregistrer une copie du programme en cours d'exécution sur le disque, utilisez / bin / dd if = / proc / filename / exe of = filename
Si vous connaissez de bonnes copies de who / ps / ls / netstat, utilisez ces outils pour examiner ce qui se passe sur la boîte. Notez que si un rootkit a été installé, ces utilitaires sont généralement remplacés par des copies qui ne donneront pas d'informations précises.