portmap 620 rpc 4u IPv4 2609 TCP *:sunrpc (LISTEN)

　　sshd 880 root 3u IPv4 2885 TCP *:ssh (LISTEN)

　　X 908 root 1u IPv4 2945 TCP *:x11 (LISTEN)

　　其中特别需要注意的是奇怪的进程和已打开的原始套接字。

　　================================

　　寻找系统中是否运行一个非法嗅探器

　　================================

　　为了达到这个目的，我们需要检查网卡是否处于混杂(promiscuous)模式:

　　[root@ay4z3ro foo]# ifconfig –i eth0 | grep PROMISC

　　PROMISC标志并不会在所有的*NIX上出现，通过lsof+ps命令可以判断系统是否正运行一个嗅探器。或者通过第三方的工具，比如AntiSniff。

　　=================

　　检查/proc文件系统

　　=================

　　在/proc/$PID/目录下对于调查比较有意义的是：exe链接，fd子目录，cmdline文件。

　　[root@ay4z3ro 880]# ls -al

　　total 0

　　dr-xr-xr-x 3 root root 0 Sep 20 19:53 ./

　　dr-xr-xr-x 62 root root 0 Sep 20 15:07 ../

　　-r--r--r-- 1 root root 0 Sep 20 19:54 binfmt

　　-r--r--r-- 1 root root 0 Sep 20 19:54 cmdline

　　lrwxrwxrwx 1 root root 0 Sep 20 19:54 cwd -> //

　　-r-------- 1 root root 0 Sep 20 19:54 environ

　　lrwxrwxrwx 1 root root 0 Sep 20 19:54 exe -> /usr/sbin/sshd*

　　dr-x------ 2 root root 0 Sep 20 19:54 fd/

　　-r--r--r-- 1 root root 0 Sep 20 19:54 maps

　　-rw------- 1 root root 0 Sep 20 19:54 mem

　　-r--r--r-- 1 root root 0 Sep 20 19:54 mounts

　　lrwxrwxrwx 1 root root 0 Sep 20 19:54 root -> //

标签：