Ativei arquivos ocultos, executei netstatpara observar conexões ativas e estou executando o Clamxav. Alguém conhece algum outro truque ou ideia para encontrar algo escondido? Esta é a máquina de um cliente. Parece estar bem. Só quero saber se mais alguma coisa eu poderia tentar.
Responder1
Procure no aplicativo Activity Monitor, provavelmente em /Applications/Utilities/. Ou use top no Terminal. Mas se as coisas parecem bem, o que você está procurando?
Responder2
OS X usa launchdpara controlar o sistema e os serviços do usuário. O launchctlcomando se conecta ao launchd para inspecionar e gerenciar daemons, agentes e serviços XPC. Veja man launchctle man launchd.
Existem lugares onde você pode procurar arquivos suspeitos. Os aplicativos instalam serviços válidos. O malware pode ter instalado um agente ou serviço malicioso.
Procure arquivos incomuns nessas pastas, especialmente ~/Library/LaunchAgentsporque podem ser gravados pelo usuário. ~/Library/LaunchDaemonsnão deveria existir. Se estiver presente, é suspeito.
~/Library/LaunchAgents Agentes fornecidos pelo usuário /Library/LaunchAgents Agentes fornecidos pelo administrador /Library/LaunchDaemons Daemons de todo o sistema fornecidos pelo administrador /System/Library/LaunchAgents OS X agentes por usuário /System/Library/LaunchDaemons Daemons de todo o sistema OS X
Corra launchctl list | sort -k3e procure itens incomuns.
Execute launchctl print systempara obter uma lista detalhada de agentes e serviços.
O método legado mais antigo launchdera o cron. Execute crontab -lpara usuários e para root. Veja man crontabe man cron.
$ crontab-l crontab: sem crontab para o usuário $ sudo su # crontab -l crontab: sem crontab para root # saída