Sprawdź aktywne procesy Używaj polecenia ps, aby przejrzeć dziwne lub nieznane procesy. Jeżeli nie jesteś pewny, czego szukać, daj polecenia netstat -ae | grep irc i/lub netstat -ea | grep 666 i szukaj portów 6666, 6667, 6668, 6669, to są zwykle porty używane przez działające boty IRC, mają nazwę irc wylistowaną obok, lub mogą mieć httpd lub czasami inne stosowane nazwy usług.

Sprawdź tabelę programów typu cron

Sprawdź tę tablicę i zobacz, czy są dziwne wejścia - są one używane przez wiele eksploitów do restartu botów IRC, nawet wtedy, gdy stosowane są procesy administratora lub automatyczne, do likwidacji nienormalnych procesów.

Sprawdź ukryte pliki lub katalogi

Wyszukuj ukryte pliki lub katalogi, które są niewidoczne, zaczynają się one "." (kropkami), szukaj także takiego zestawu". " (kropka, spacja) często stosowane, aby próbować wykryć wyszukiwania ukrytych katalogów.

A to inne przykłady wyszukiwań, które mogą pomóc odkryć eksploity i/lub nieoczekiwane pliki i foldery:

find /home -type f | xargs grep -l MultiViews
find . -type f | xargs grep -l base64_encode <<< to może generować fałszywe alarmy, jest to poprawny kod w wielu skryptach graficznych/pocztowych
find . -type f | xargs grep -l error_reporting
find / -name "[Bb]itch[xX]"
find / -name "psy*"
ls -lR | grep rwxrwxrwx > listing.txt