1. lsof, ps top 등의 명령이 잘 동작하는지 확인한다.
2. /var/log 에 있는 message, maillog 등 메일과 메시지 관련 등의 파일확인 (이 파일들의 저장상태가 0 이거나, 이상상황이면 해킹의심)
3. ps 프로그램을 통하여 이상한 프로세스를 찾아본다.
start .. 등 잘모르는 프로세스가 실행중에 있을경우 man 으로 확인해 본다.
4. 이상한 프로세스가 있으면 find 명령을 통하여 위치를 확인한다.
find / -name "start" -print
5. 파일의 위치가 정상적이지 않은곳에 위치한다면, 해킹을 단한것이라고 판단한다.
파일위차가 : /dev/cmd/.../mach 등... 이상한 폴더에 관리중일것이다.
6. 아래 명령을 치면 /dev 아래에 해킹관련 파일들이 나타나기도 한다.
find /dev -type f
/dev/MAKEDEV
/dev/shm/ptrace
/dev/shm/bindz
/dev/hdx1
/dev/hdx2