auditd
).
Supondo que você não saiba o que esse processo estava tentando realizar, o que você pode fazer é:
-
Execute
last
elast -f /var/log/btmp | less
oufaillog
para procurar tentativas de login suspeitas ou com falha. -
Verifique
/var/log/secure
para quaisquer dicas relacionadas à autenticação -
Verifique os
/var/cron/tab
e/etc/crontab
para encontrar trabalhos recém-adicionados, se houver algum (verificar também/var/log/cron
ajudaria a identificar alguns trabalhos suspeitos que foram executados, o que significa que a configuraçãocron
foi modificada para parecer em outras pastas para trabalhos extras) -
Execute
lsmod
para quaisquer módulos suspeitos do kernel que estão atualmente carregados (tambémdkms status
para os carregados dinamicamente)
Você também pode verificar todos os arquivos de log manualmente ou grep para um nome de processo (se souber). E sim, verifique /var/log/audit
apenas no caso de auditd
estar configurado e em execução. Nesse caso, você provavelmente descobriria mais algumas informações.
De qualquer forma, é mais sobre procurar uma agulha no palheiro. Você deve fazer muitos palpites educados (ou não tão educados) sobre o que o processo estava fazendo para encontrar qualquer coisa.