Как обнаружить контроллер ботнета на сервере

Ответ @ Глена - хорошее начало, но хороший установщик ботнета будет использовать руткит, который блокирует большинство системных утилит (поэтому они не будут показывать их при проведении экспертизы). По-настоящему хороший вариант даже приведет к изменению исходного кода или библиотек, поэтому даже скомпилированные двоичные файлы будут слепыми. Единственный реальный способ - заставить вашего хостинг-провайдера показывать вам журналы трафика, которые показывают, что вы взломаны, и подтверждать, что подключено к этому порту через lsof или netstat. Который, если он ничего не показывает, все равно не означает, что вы не были скомпрометированы.

lsof и netstat могут быть полезны для выслеживания ботов и вышибал. 'lsof -i | grep -i irc'помог мне найти их в прошлом, но я сомневаюсь, что это все поймает. Если вы видите что-то странное с netstat / lsof, вы можете дополнительно изучить pid с помощью 'ls -lah /proc/$pid/'.