Windows-комп'ютери:
Підозріло високий вихідний трафік. Якщо ви користуєтеся дайлапом або ADSL-підключенням і помітили незвичайно велика кількість витікаючого мережевого трафіку (зокрема, проявляється, коли ваш комп'ютер працює і підключений до інтернету, але ви їм не користуєтесь), то ваш комп'ютер. можливо, був зламаний. Такий комп'ютер може використовуватися для прихованої розсилки спаму або для розмноження мережевих черв'яків.
Постійний антивірусний захист вашого комп'ютера повідомляє про присутність на комп'ютері троянських програм або бекдор, хоча в іншому все працює нормально. Хоч хакерські атаки можуть бути складними і незвичайними, більшість зломщиків покладається на добре відомі троянські утиліти, що дозволяють отримати повний контроль над зараженим комп'ютером. Якщо ваш антивірус повідомляє про затримання подібних шкідливих програм, то це може бути ознакою того, що ваш комп'ютер відкритий для несанкціонованого віддаленого доступу.
UNIX-комп'ютери:
Файли з підозрілими назвами в папці «/ tmp». Безліч експлойтів в світі UNIX покладається на створення тимчасових файлів у папці «/ tmp», які не завжди видаляються після злому системи. Це ж справедливо для деяких черв'яків, що заражають UNIX-системи; вони рекомпіліруют себе в папці «/ tmp» і потім використовують її в якості «домашньої».
Модифіковані виконувані файли системних сервісів на зразок «login», «telnet», «ftp», «finger» або навіть більш складних типу «sshd», «ftpd» та інших. Після проникнення в систему хакер зазвичай робить спробу вкоренитися в ній, помістивши бекдор в один із сервісів, доступних з Інтернету, або змінивши стандартні системні утиліти, що використовуються для підключення до інших комп'ютерів. Подібні модифіковані виконувані файли зазвичай входять до складу rootkit і приховані від простого прямого вивчення. У будь-якому випадку, корисно зберігати базу з контрольними сумами всіх системних утиліт і періодично, відключилися від інтернету, в режимі одного користувача, перевіряти, чи не змінилися вони.
Модифіковані «/ etc / passwd», «/ etc / shadow» або інші системні файли в папці «/ etc». Іноді результатом хакерської атаки стає поява ще одного користувача в файлі «/ etc / passwd», який може віддалено зайти в систему пізніше. Слідкуйте за всіма змінами файлу з паролями, особливо за появою користувачів з підозрілими логінами.
Поява підозрілих сервісів в «/ etc / services». Установка бекдора в UNIX-системи найчастіше здійснюється шляхом додавання двох текстових рядків в файли «/ etc / services» і «/etc/ined.conf». Слід постійно стежити за цими файлами, щоб не пропустити момент появи там нових рядків, що встановлюють бекдор на раніше не використовуваний або підозрілий порт