Eu habilitei arquivos ocultos, corri netstatpara observar conexões ativas e estou executando o Clamxav. Alguém conhece algum outro truque ou idéia para encontrar alguma coisa escondida? Esta é uma máquina do cliente. Parece bom. Só quero saber se mais alguma coisa eu poderia tentar.
Olhe no aplicativo Monitor de Atividade, provavelmente em / Aplicativos / Utilitários /. Ou use o topo no terminal. Mas se as coisas parecem bem, o que você está procurando?
OS X usa launchdpara controlar o sistema e os serviços do usuário. O launchctlcomando se conecta ao launchd para inspecionar e gerenciar daemons, agentes e serviços XPC. Veja man launchctle man launchd.
Existem lugares onde você pode procurar por arquivos suspeitos. Aplicativos instalam serviços válidos. O malware pode ter instalado um agente ou serviço malicioso.
Procure por arquivos incomuns nessas pastas, especialmente ~/Library/LaunchAgentsporque é gravável pelo usuário. ~/Library/LaunchDaemonsnão deveria existir. Se estiver presente, é suspeito.
~ / Library / LaunchAgents Agentes fornecidos pelo usuário / Library / LaunchAgents Agentes fornecidos pelo administrador / Library / LaunchDaemons Daemons de todo o sistema fornecidos pelo administrador / System / Library / LaunchAgents OS X agentes por usuário / System / Library / LaunchDaemons Daemons do sistema OS X
Corra launchctl list | sort -k3e procure por itens incomuns.
Corra launchctl print systempara uma lista detalhada de agentes e serviços.
O método antigo e legado anterior launchdera cron. Executar crontab -lpara usuários e para root. Veja man crontabe man cron.
$ crontab -l crontab: não crontab para usuário $ sudo su # crontab -l crontab: não crontab para raiz # Saída