サーバをクラックされたときに、SUIDが設定されたファイルを探す

SUID（Set User ID）とは、実行ファイルに設定される属性。
これが設定されていると、実行ファイルは所有者権限で動作する。
所有者がスーパーユーザの実行ファイルにSUIDが設定されてしまうと、
一般ユーザがスーパーユーザ権限で実行ファイルを動作させることができるので、危険。

find コマンドで-permオプションを使う。(permission)

# find / -perm -u+s -print

パスワードファイル

/etc/passwd
アクセス権：-rw-r--r--

/etc/shadow
アクセス権：-r--------

ファイルを開いているプロセスの表示

# lsof -i -n -P

サーバの開いてるポートをチェック

# nmap localhost

sudoの設定ファイル

/etc/sudoers

ulimit

ユーザーが使用できるリソースの制限を設定するコマンド

whoコマンドでサーバにログインしているユーザを表示させないようにする

whoコマンドは、
/var/run/utmp
ファイルからユーザのログイン情報を表示しているので、
このファイルを消せばよい。