netstat木马程序的一个实现不支持"-p"选项，而系统自身的netstat实现支持"-p"选项。
因此如果发现netstat不支持"-p"选项，肯定netstat被修改过。另外，Linux系统的"-p"
选项表示打印出进程号(pid)和程序名(program name)信息，而Solaris系统上"-p"表示打
印出ARP Cache信息。如果发现与这一点不符，netstat就被修改过。

6) ps后门

检查/dev目录，查找是否有诸如"/dev/ptyp"之类的文件，用"ls -l"看结果是否为

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp

或

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有，而执行ps时用lsof发现它被打开，说明ps被植入木马。如果命令行中ps接受"-/"
选项(原有代码中没有这个选项)，那么ps肯定被修改过。如果
strings ps | grep "/dev/pty"有输出，或者直接strings ps发现可疑路径和文件名，说
明已经被植入木马。

7) top后门

检查/dev目录，查找是否有诸如"/dev/ptyp"之类的文件，用"ls -l"看结果是否为

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp

或

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有，而执行top时用lsof发现它被打开，说明ps被植入木马。如果命令行中top接
受"-/"选项(原有代码中没有这个选项)，那么top肯定被修改过。如果
strings top | grep "/dev/pty"有输出，或者直接strings top发现可疑路径和文件名，
说明已经被植入木马。

8) tcpd后门

tcpd中有一段代码，这段代码对远程主机名进行查询和检查，拒绝可疑连接。木马的目的
是使这段代码失效。

检查/dev目录，查找是否有诸如"/dev/ptyq"之类的文件，用"ls -l"看结果是否为

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyq

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyq

或

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有，而启动tcpd时用lsof发现它被打开，说明tcpd被植入木马。如果tcpd接受"-/"
选项(原有代码中没有这个选项)，那么tcpd肯定被修改过。如果
strings tcpd | grep "/dev/pty"有输出，或者直接strings tcpd发现可疑路径和文件名，
说明已经被植入木马。

9) syslogd后门

检查/dev目录，查找是否有诸如"/dev/ptys"之类的文件，用"ls -l"看结果是否为

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptys

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptys

或

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有，而启动syslogd时用lsof发现它被打开，说明syslogd被植入木马。如果
strings syslogd | grep "/dev/pty"有输出，或者直接strings syslogd发现可疑路径和
文件名，说明已经被植入木马。

10) killall后门

检查/dev目录，查找是否有诸如"/dev/ptyp"之类的文件，用"ls -l"看结果是否为

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp

或

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有，而执行killall时用lsof发现它被打开，说明killall被植入木马。如果killall
接受"-/"选项(原有代码中没有这个选项)，那么killall肯定被修改过。如果
strings killall | grep "/dev/pty"有输出，或者直接strings killall发现可疑路径和
文件名，说明已经被植入木马。

11) pop3d后门

pop3d-trojan.tar.gz
12) sshd后门

sshd后门把ssh发行包里的login.c作了修改，加入内置的帐号/口令。执行
"strings sshd"，发现诸如"hax0r3d"这样的字符串，说明sshd已被植入木马

13) cgi后门

在cgi-bin/目录下检查这类cgi程序，尤其是perl写的脚本

14) find后门

检查/dev目录，查找是否有诸如"/dev/ptyr"之类的文件，用"ls -l"看结果是否为

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyr

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyr

或

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有，而执行find时用lsof发现它被打开，说明find被植入木马。如果find接受"-/"