4) ifconfig后门

ifconfig后门就是把下面一行代码注释掉

if ( ptr->flags & IFF_PROMISC ) printf( "PROMISC " );

以去掉网卡混杂模式显示。如果"strings /sbin/ifconfig | grep PROMISC"没有输出，
ifconfig肯定已被修改过了。

5) netstat后门

检查/dev目录，检查是否存在"/dev/ptyq"一类的文件，用"ls -l"看结果是否为

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyq

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyq

或

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有，而执行netstat时用lsof发现它被打开，说明netstat被植入木马。如果命令行
中netstat接受"-/"选项(原有代码中没有这个选项)，那么，netstat肯定被修改过了。
如果strings netstat | grep "/dev/pty"有输出，或者直接strings netstat发现可疑
路径或文件名，说明已经被修改过。

netstat木马程序的一个实现不支持"-p"选项，而系统自身的netstat实现支持"-p"选项。
因此如果发现netstat不支持"-p"选项，肯定netstat被修改过。另外，Linux系统的"-p"
选项表示打印出进程号(pid)和程序名(program name)信息，而Solaris系统上"-p"表示打
印出ARP Cache信息。如果发现与这一点不符，netstat就被修改过。

6) ps后门

检查/dev目录，查找是否有诸如"/dev/ptyp"之类的文件，用"ls -l"看结果是否为

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp

或

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有，而执行ps时用lsof发现它被打开，说明ps被植入木马。如果命令行中ps接受"-/"
选项(原有代码中没有这个选项)，那么ps肯定被修改过。如果
strings ps | grep "/dev/pty"有输出，或者直接strings ps发现可疑路径和文件名，说
明已经被植入木马。

7) top后门

检查/dev目录，查找是否有诸如"/dev/ptyp"之类的文件，用"ls -l"看结果是否为

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp

或

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有，而执行top时用lsof发现它被打开，说明ps被植入木马。如果命令行中top接
受"-/"选项(原有代码中没有这个选项)，那么top肯定被修改过。如果
strings top | grep "/dev/pty"有输出，或者直接strings top发现可疑路径和文件名，
说明已经被植入木马。

8) tcpd后门

tcpd中有一段代码，这段代码对远程主机名进行查询和检查，拒绝可疑连接。木马的目的
是使这段代码失效。

检查/dev目录，查找是否有诸如"/dev/ptyq"之类的文件，用"ls -l"看结果是否为

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyq

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyq

或

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有，而启动tcpd时用lsof发现它被打开，说明tcpd被植入木马。如果tcpd接受"-/"
选项(原有代码中没有这个选项)，那么tcpd肯定被修改过。如果
strings tcpd | grep "/dev/pty"有输出，或者直接strings tcpd发现可疑路径和文件名，
说明已经被植入木马。