Habilité archivos ocultos, ejecuté netstatpara observar conexiones activas y estoy ejecutando Clamxav. ¿Alguien conoce otros trucos o ideas para encontrar algo escondido? Esta es la máquina de un cliente. Parece estar bien. Sólo quiero saber si puedo probar algo más.
Respuesta1
Busque en la aplicación Activity Monitor, probablemente en /Aplicaciones/Utilidades/. O use top en la Terminal. Pero si todo parece estar bien, ¿qué estás buscando?
Respuesta2
OS X se utiliza launchdpara controlar el sistema y los servicios del usuario. El launchctlcomando se conecta con launchd para inspeccionar y administrar demonios, agentes y servicios XPC. Ver man launchctly man launchd.
Hay lugares donde puedes buscar archivos sospechosos. Las aplicaciones instalan servicios válidos. Es posible que el malware haya instalado un agente o servicio malicioso.
Busque archivos inusuales en estas carpetas, especialmente ~/Library/LaunchAgentsporque el usuario puede escribirlas. ~/Library/LaunchDaemonsno debería existir. Si está presente, es sospechoso.
~/Library/LaunchAgents Agentes proporcionados por el usuario /Library/LaunchAgents Agentes proporcionados por el administrador /Library/LaunchDaemons Demonios de todo el sistema proporcionados por el administrador /System/Library/LaunchAgents Agentes por usuario de OS X /System/Library/LaunchDaemons Demonios de todo el sistema OS X
Corre launchctl list | sort -k3y busca objetos inusuales.
Ejecute launchctl print systempara obtener una lista detallada de agentes y servicios.
El método antiguo y heredado anterior launchdera cron. Ejecutar crontab -lpara usuarios y para root. Ver man crontaby man cron.
$ crontab-l crontab: no hay crontab para el usuario $ sudo su # crontab-l crontab: no hay crontab para root # salida