Злоумышленники часто оставляют после себя файлы или сценарии, позволяющие им повторно войти в систему либо получить полномочия администратора. Используйте команду Is -а | grep ' " Y " для поиска файлов с именами, начинающимися с точки (,). Злоумышленникам особенно нравятся такие имена, как . mail, . хх , .. . (три точки), . . (точка, точка, пробел) или же , . "G (точка, точка, <Ctrl>+<G>).

Если найден файл с таким или подобным именем, вероятен взлом. (Помните, что в каждом каталоге, за исключением корневого, существует один каталог с именем . и один каталог с именем ... ) Изучите содержимое всех подозрительных файлов и следуйте обычной процедуре доклада информации о происшествии.

Следует также изучить ряд ключевых файлов, если возникает подозрение относительно безопасности:

/etc/inetd.conf и /etc/xinetd.conf - Проверьте имена программ, запускаемых настройками файла /etc/in etd.conf, либо файла /etc/xinetd.conf , если используется xinetd. В част ности, убедитесь, что не запускается какой-либо интерпретатор команд (к примеру, /bin/csh). Убедитесь также, что программы, запускаемые де монами inetd и xinetd, небыли изменены. Файлы /etc/inetd.conf и /etc/xi netd.conf не должны быть доступны для записи всем пользователям.

Файлы настройки r-команд - Проверьте файлы /etc/hosts.equiv, /etc/hosts.lpd, а также файлы .rhosts в домашних каталогах всех пользователей. Убедитесь, что файлы не были изменены неподобающим образом. В частности, обратите особое внимание на записи со знаком сложения (+) и любые записи, в которых фигурируют узлы, не принадлежащие локальной сети. Перечисленные файлы не должны быть доступны для записи всем пользователям. Лучше всего удалите r-команды из системы и позаботьтесь о том, чтобы они не устанавливались повторно.

/etc/passwd - Убедитесь, что файл /etc/passwd не был изменен. Ищите новые имена пользователей и изменения в идентификаторах UID и GID любых учет- ных записей. Файл /etc/passwd не должен быть доступен для записи всем пользователям.

Файлы, выполняемые командами cron и at - Проверьте все файлы, выполняемые по командам сгоп и at. Ищите новые файлы или необъяснимые изменения в существующих. Временами злоумышленники используют процедуры, выполняемые cron и at, чтобы повторно получить доступ к системе даже после того, как их доступ заблокирован.

Исполняемые файлы - Проверьте все исполняемые файлы и файлы сценариев на предмет изменений, внесенных злоумышленниками. Исполняемые файлы не должны быть доступны для записи всем пользователям. Если вы обнаружили или хотя бы заподозрили наличие проблемы, следуйте стандартной процедуре и уведомите о ней пользователей. Это особенно важно, если система подключена к локальной сети. Проблема, возникшая в одной системе сети, может распространиться и на другие системы.