Linux下初步后門搜索

 1. 帳號后門

檢查/etc/passwd、/etc/shadow文件中如下帳號是否已經擁有合法登錄shell、登錄口令

bin、daemon、adm、lp、sync、shutdown、halt、mail、news、uucp、games、
gopher、ftp、nobody、xfs、named、gdm、sys、nuucp、listen

/etc/passwd文件格式如下

username : password : uid : gid : comment : home_directory : shell

建議對/etc/passwd、/etc/shadow文件做備份，保留在其他主機或可移動介質上，定期對
比，檢查是否增加了異常帳號。

2. $HOME/.rhosts后門

趁系統干凈的時候，記錄、備份/etc/hosts.equiv和$HOME/.rhosts文件，定期掃描檢查
是否增加了這類文件以及原有文件內容是否改變

3. binary木馬后門

二進制木馬后門是將系統二進制可執行文件替換成特洛伊(trojan)木馬文件來達到放置后
門的效果�？赡苁谦@取了源代碼，修改后重新編譯�；蛘呓柚�其他技術直接向二進制程序
文件中植入代碼。

對這類后門檢測的第一步是檢查時間戳與校驗和，假設已經對文件用類似TripWire這類工
具作了時間戳與校驗和記錄。如果沒有使用過TripWire，用"ls -l"和"stat"命令檢查時
間戳，是否有明顯不協調的文件。如果存在，極可能被替換成特洛伊木馬植入后門了，仔
細作進一步查證。

對于網絡應用程序，運行后用netstat和lsof命令查看是否存在不正常的行為。尤其是查
看有無異常端口被打開，有無異常文件被打開。

作進一步查證時，第一步是用strings命令查找程序中有無異常字符串。第二步，如有必
要，需要將現有二進制代碼與確認干凈的二進制代碼進行比較。

對于這類后門，重點檢查這樣一些程序

in.ftpd、in.telnetd、in.rshd、in.rlogind、in.rexecd、in.talkd、in.tnamed、
in.uucpd、in.tftpd、in.fingerd、sadmind、rquotad、rpc.rusersd、rpc.sprayd、
rpc.rwalld、rpc.rstatd、rpc.rexd、rpc.ttdbserverd、rpc.cmsd、kcms_server、ufsd、
fs.auto、cachefsd、kerbd、in.lpd、gssd、dtspcd、in.comsat

/etc/init.d目錄中啟動腳本調用的二進制可執行程序

ANNOUNCE MOUNTFSYS PRESERVE RMTMPFILES ab2mgr
afbinit audit autofs autoinstall buildmnttab
cachefs.daemon cachefs.root cacheos cacheos.finish cron
devlinks drvconfig dtlogin inetinit inetsvc
init.dmi init.snmpdx initpcmcia keymap lp
mkdtab nfs.client nfs.server nscd pcmcia
power rootusr rpc savecore sendmail
spc standardmounts sysetup sysid.net sysid.sys
syslog ufs_quota utmpd volmgt xntpd

除了上面所列的，還要注意下面這些后門

1) login后門

如果"strings /usr/bin/login | grep crypt"有輸出，很可能是木馬。

2) ls、dir、vdir后門

ls、dir、vdir后門的用意在于隱藏文件和目錄。如果執行這些命令時可以加"-/"選項(原
有代碼中不支持這個選項)，則說明已經被植入木馬了。

檢查/dev目錄，查找是否有諸如"/dev/ptyr"之類的文件，用"ls -l"看結果是否為

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyr

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyr

或

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有，說明已經有木馬了。如果strings ls | grep "/dev/pty"有輸出，或者直接
strings ls發現可疑路徑和文件名，說明已經有木馬。對dir、vdir也一樣。

3) du后門

du后門同樣是用來隱藏文件和目錄的。如果命令行中執行這個命令可以加"-/"選項(原有
代碼中沒有這個選項)，那么說明已經被植入木馬了。檢查/dev目錄，查找是否有諸如
"/dev/ptyr"之類的文件，用"ls -l"看結果是否為

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyr

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyr

或

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有，說明已經有木馬了。如果strings du | grep "/dev/pty"有輸出，或者直接
strings du發現可疑路徑和文件名，說明已經有木馬。

4) ifconfig后門

ifconfig后門就是把下面一行代碼注釋掉

if ( ptr->flags & IFF_PROMISC ) printf( "PROMISC " );

以去掉網卡混雜模式顯示。如果"strings /sbin/ifconfig | grep PROMISC"沒有輸出，
ifconfig肯定已被修改過了。

5) netstat后門

檢查/dev目錄，檢查是否存在"/dev/ptyq"一類的文件，用"ls -l"看結果是否為

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyq

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyq

或

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有，而執行netstat時用lsof發現它被打開，說明netstat被植入木馬。如果命令行
中netstat接受"-/"選項(原有代碼中沒有這個選項)，那么，netstat肯定被修改過了。
如果strings netstat | grep "/dev/pty"有輸出，或者直接strings netstat發現可疑
路徑或文件名，說明已經被修改過。

netstat木馬程序的一個實現不支持"-p"選項，而系統自身的netstat實現支持"-p"選項。
因此如果發現netstat不支持"-p"選項，肯定netstat被修改過。另外，Linux系統的"-p"
選項表示打印出進程號(pid)和程序名(program name)信息，而Solaris系統上"-p"表示打
印出ARP Cache信息。如果發現與這一點不符，netstat就被修改過。

6) ps后門

檢查/dev目錄，查找是否有諸如"/dev/ptyp"之類的文件，用"ls -l"看結果是否為

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp

或

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有，而執行ps時用lsof發現它被打開，說明ps被植入木馬。如果命令行中ps接受"-/"
選項(原有代碼中沒有這個選項)，那么ps肯定被修改過。如果
strings ps | grep "/dev/pty"有輸出，或者直接strings ps發現可疑路徑和文件名，說
明已經被植入木馬。

7) top后門

檢查/dev目錄，查找是否有諸如"/dev/ptyp"之類的文件，用"ls -l"看結果是否為

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp

或

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有，而執行top時用lsof發現它被打開，說明ps被植入木馬。如果命令行中top接
受"-/"選項(原有代碼中沒有這個選項)，那么top肯定被修改過。如果
strings top | grep "/dev/pty"有輸出，或者直接strings top發現可疑路徑和文件名，
說明已經被植入木馬。

8) tcpd后門

tcpd中有一段代碼，這段代碼對遠程主機名進行查詢和檢查，拒絕可疑連接。木馬的目的
是使這段代碼失效。

檢查/dev目錄，查找是否有諸如"/dev/ptyq"之類的文件，用"ls -l"看結果是否為

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyq

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyq

或

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有，而啟動tcpd時用lsof發現它被打開，說明tcpd被植入木馬。如果tcpd接受"-/"
選項(原有代碼中沒有這個選項)，那么tcpd肯定被修改過。如果
strings tcpd | grep "/dev/pty"有輸出，或者直接strings tcpd發現可疑路徑和文件名，
說明已經被植入木馬。

9) syslogd后門

檢查/dev目錄，查找是否有諸如"/dev/ptys"之類的文件，用"ls -l"看結果是否為

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptys

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptys

或

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有，而啟動syslogd時用lsof發現它被打開，說明syslogd被植入木馬。如果
strings syslogd | grep "/dev/pty"有輸出，或者直接strings syslogd發現可疑路徑和
文件名，說明已經被植入木馬。

10) killall后門

檢查/dev目錄，查找是否有諸如"/dev/ptyp"之類的文件，用"ls -l"看結果是否為

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp

或

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有，而執行killall時用lsof發現它被打開，說明killall被植入木馬。如果killall
接受"-/"選項(原有代碼中沒有這個選項)，那么killall肯定被修改過。如果
strings killall | grep "/dev/pty"有輸出，或者直接strings killall發現可疑路徑和
文件名，說明已經被植入木馬。

11) pop3d后門

pop3d-trojan.tar.gz
12) sshd后門

sshd后門把ssh發行包里的login.c作了修改，加入內置的帳號/口令。執行
"strings sshd"，發現諸如"hax0r3d"這樣的字符串，說明sshd已被植入木馬

13) cgi后門

在cgi-bin/目錄下檢查這類cgi程序，尤其是perl寫的腳本

14) find后門

檢查/dev目錄，查找是否有諸如"/dev/ptyr"之類的文件，用"ls -l"看結果是否為

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyr

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyr

或

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有，而執行find時用lsof發現它被打開，說明find被植入木馬。如果find接受"-/"
選項(原有代碼中沒有這個選項)，那么find肯定被修改過。如果
strings find | grep "/dev/pty"有輸出，或者直接strings find發現可疑路徑和文件名，
說明已經被植入木馬。

15) chfn后門

16) chsh后門

4. 守護進程后門

binary木馬后門是把系統上原有的二進制可執行程序換成特洛伊(trojan)木馬程序。另一
類后門是在系統上隱藏一些可執行程序，這些可執行程序原來系統上并不存在。按照網絡
協議來分類，它們有如下類別

1) UDP后門

啟動一個守護進程，偵聽某個UDP端口，收到特定UDP報文后啟動一個shell。例如
udp-backdoor-v2.0.tgz，就是這類后門的安裝包。可用"netstat -na -P udp"查看這類后
門。

2) TCP后門

諸如bdoor.c之類的小程序。執行"netstat -na -P tcp" 查看這類后門是否在活動。

3) Raw Socket后門

這類后門打開一個raw socket，通過發ICMP包來進行網絡通訊。

如果已對文件系統用TripWire之類的工具作了備份和記錄，檢測這類后門的第一步當然是
用這類工具檢查是否增加了新文件，特別是可執行文件。如果有，需仔細檢查，它極可能
是后門程序。

另一方面，在系統上安置守護進程后門后，攻擊者要做的事就是如何啟動它。如果沒有啟
動，后門毫無用處。Unix系統上守護進程通過rc腳本來啟動，對網絡守護進程，還可以
通過inetd 超級服務器來啟動。相應地，檢測這類后門也依據這些，并結合這類后門大都
要進行網絡通訊的特征

1) 檢查rc腳本

對Solaris系統，在/etc目錄下有這樣一些rc腳本

rcS、rc0、rc1、rc2、rc3、rc5、rc6

對Linux，rc腳本在/etc/rc.d目錄下，它們是rc、rc.local、rc.sysinit。

對Solaris系統，rc[S-6]腳本名最后一個數字或字母表示運行級別。/etc目錄下另有
rc0.d、rc1.d、rc2.d、rc3.d、rcS.d五個目錄，目錄名中'.'前面的數字或字母同樣是表
示運行級別。rc[S-6] 腳本的作用是，按運行級別，對相應的rc[S-6]目錄下文件名以'S'
打頭的腳本文件，賦給參數start，啟動相應的守護進程，以'K'打頭的腳本文件，賦給參
數stop，關閉相應的守護進程。其中的例外是，rc5和rc6腳本啟動或關閉的是rc0.d中
的守護進程。此外，rcS、rc0、rc1、rc5、rc6腳本還進行文件系統安裝或拆卸工作。特
別是 rcS，它是系統啟動時必須執行的，它對文件系統進行檢查和安裝，進行各項系統配
置。

對Linux系統，/etc/rc.d目錄下有rc0、rc1、rc2、rc3、rc4、rc5、rc6這七個目錄。
/etc/rc.d/rc腳本依據運行級別象Solaris上一樣通過rc[0-6]目錄中的腳本啟動或關閉
守護進程。同時，對每個運行級別，rc.local腳本都將執行。rc.sysinit腳本系統啟動時
必須執行，它檢查和安裝文件系統，進行各項系統配置。

檢查上面的幾個腳本文件，如果發現文件被修改，加有別的東西執行別的程序，必須仔細
檢查這些程序，很可能是啟動某個后門程序。

上面所列的rc?.d目錄中的腳本文件，對Solaris，都是到/etc/init.d目錄中某個腳本文
件的符號連接或者硬鏈接，對Linux，都是到/etc/rc.d/init.d目錄中某個腳本文件的符
號連接或者硬鏈接。這些rc?.d目錄中的腳本文件名為SNN***或KNN***，NN為數字，它
的大小表明腳本執行的次序，***為字符串，表示服務名。對腳本文件名的 *** 部分，在
Solaris上大致為下面這些

ANNOUNCE MOUNTFSYS PRESERVE RMTMPFILES ab2mgr
afbinit audit autofs autoinstall buildmnttab
cachefs.daemon cachefs.root cacheos cacheos.finish cron
devlinks drvconfig dtlogin inetinit inetsvc
init.dmi init.snmpdx initpcmcia keymap lp
mkdtab nfs.client nfs.server nscd pcmcia
power rootusr rpc savecore sendmail
spc standardmounts sysetup sysid.net sysid.sys
syslog ufs_quota utmpd volmgt xntpd

在Linux上，大致為下面這些

anacron apmd arpwatch atd crond functions
gpm halt httpd httpd.orig identd inet
ipchains ipsec irda kdcrotate keytable killall
kudzu linuxconf lpd named netfs network
nfs nfslock pcmcia portmap random rstatd
rusersd rwalld rwhod sendmail single snmpd
syslog xfs ypbind yppasswdd ypserv

仔細檢查這些rc?.d 目錄，如果發現某個腳本文件不是到/etc/rc.d/init.d或/etc/init.d
目錄中某個腳本文件的符號連接、硬鏈接，或者出現與上面文件名規則不相符的腳本文件，
或者增加了某個腳本文件，它很可能是用來啟動后門進程的，必須仔細檢查這些腳本啟動
的程序。

確信rc?.d目錄中腳本文件都是到/etc/rc.d/init.d或/etc/init.d目錄中某個腳本文件
的符號連接、硬鏈接后，再cd到/etc/rc.d/init.d或/etc/init.d目錄下。檢查init.d
目錄下的腳本文件。如果某個腳本啟動的服務進程與名稱不符，或者腳本文件的內容被修
改，加有別的什么東西啟動了別的進程，必須仔細檢查，極可能是被用來啟動后門進程。

除此之外，與二進制木馬后門相交*，對init.d目錄下腳本文件啟動的每一個程序本身，
都要仔細檢查，運行起來看看有沒有什么不正常的現象，防止它有可能被換成木馬。對于
init.d目錄中的腳本文件啟動的程序，它們的二進制文件大都在/usr/bin、
/usr/local/bin、/sbin、/usr/sbin目錄下。

2) 檢查/etc/inetd.conf配置文件

注意/etc/inetd.conf中的語法

#
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd

和，這兩個字段的關系就象execve()函數的第一個形參和第二
形參。檢查/etc/inetd.conf，特別是最后兩個字段，是否除通常的服務外啟動了別的服務。
如果有的話，仔細檢查這項服務，很可能是在啟動后門程序。

同樣，與binary木馬后門相交*，對inet.conf所列的每項服務，都要對相應程序進行檢
查，很有可能它們被換成木馬程序。

3) 使用netstat和lsof命令

如果后門程序作為守護進程啟動，通常它偵聽某個端口，通過該端口與外網連接。攻擊者
借此獲取對系統的訪問。

對Linux系統，用"netstat -nap"命令列出網絡狀態信息，特別注意 和
這兩欄。如果所列的 中 ":" 后給出端口處于偵聽
狀態，而系統又沒有在這個端口啟動服務，從 這欄追蹤對應程序，
它肯定是后門程序。如果 中某端口與另一端建立了連接，系統沒有在該
端口上配置服務，從 欄中檢查建立該連接的程序，如果程序不是通
常系統配置允許使用的客戶程序，仔細檢查該程序，它屬于不正常的行為，很可能是后門
程序。

對Solaris系統，先用"netstat -na"列出網絡狀態信息，取出 欄中的
local_host_addr:port。再執行"lsof -i tcp@local_host_addr:port"命令，或者對UDP
協議執行"lsof -i udp@local_host_addr:port"命令，這樣就得到了netstat命令沒有列
出的 。隨后按上面Linux系統一樣的方式來做。注意，這里的
local_host_addr 是本機的IP地址或主機名，也可以簡化為 tcp:port 或 udp:port，還
可以加上 -T[q、s、w 任意組合] 選項列出隊列長度、狀態、窗口大小信息。

對于raw socket，用"lsof -n | grep raw"命令進行檢查。

5. cron后門

除了以守護進程方式啟動后門，還可以利用cron機制啟動后門，下面就是植入這類后門的
一個腳本

-------------------------------------------------------------------------------
#! /sbin/sh
# Which port should the shell start on
PORT="31337"
# Where (and under what name) to hide the socket demon
HIDE="/dev/ptyp"
# Time when the demon should start (0-23 h, military time)
START="2"
# Same like above but when should it stop
STOP="3"

if [ "`whoami`" != "root" ]; then
echo "you had to be root to do this!"
exit 1
fi

echo "#define PORT " $PORT > backdoor.c
cat >> backdoor.c << 'EOF'
... ...
EOF
gcc -O3 -o $HIDE backdoor.c

if [ -f $HIDE ]; then
echo "Compiling done"
rm -f backdoor.c
else
echo "Unable to compile"
rm -f backdoor.c
exit 1
fi
echo "STARTTIME = "$START"; ENDTIME = "$STOP"h"
echo "*" $START "* * *" $HIDE > crontabfile
echo "*" $STOP "* * * killall -9 "$HIDE >> crontabfile
crontab crontabfile
rm -f crontabfile
-------------------------------------------------------------------------------

(這個腳本有問題，如果這樣做了，會破壞原來的/var/spool/cron/crontabs/root)

對Linux系統，crontab文件位于/var/spool/cron目錄中，對Solaris系統，位于
/var/spool/cron/crontabs目錄中。這些crontab文件一般以用戶名作文件名，cron守護
進程每隔一分鐘就檢查一次，依據它們更新內存中的crontab表。編輯crontab文件后，
后門程序就在固定的時間啟動和停止。

檢測后門時，相應地檢查/var/spool/cron/crontabs或/var/spool/cron目錄中的crontab
文件，查看是否有可疑程序被執行了。如果有，仔細檢查它是否是后門程序。與binary木
馬后門相交*，還要仔細檢查原有cron任務對應的程序，防止它們被換成木馬。

如果cron后門有網絡通訊，與守護進程后門一樣，可以結合netstat和lsof命令來檢測。

6. 動態鏈接庫后門

幾乎所有的Unix系統使用動態庫。動態庫重用相同代碼而減少空間占用。入侵者可以修改
動態庫里的函數，比如說crypt()、open()或read()等，在修改后的函數里植入后門，啟
動shell或建立網絡連接。

動態庫后門的特點是非常隱蔽，一旦植入很難被發現。尤其是可以用來避免后門作為守護
進程常駐后臺，這就大大減小了被發現的可能性。例如這樣，在系統經常調用的函數，比
如open()里植入后門，后門程序啟動一個進程作為連接的客戶端，它主動發起連接連向攻
擊者指定主機上的守護進程。如果連接失敗或攻擊者沒有坐在機器前輸入什么數據相應，
后門進程立即退出。如果連接成功而攻擊者又坐在機器前，攻擊者迅速做完要做的事后斷
開連接，后門進程立即退出。如果攻擊者在夜深人靜的工作，在這個短暫的時間里很難被
發現。

對于動態庫后門，很難檢測出來。一般說來，對大多數動態庫，都有一個對應的靜態庫。
它們的功能是相同的，只有動態連接和靜態連接的區別。因此一種檢測方法是，如果通過
某種方法，比如說比較MD5校驗和，確信靜態庫沒有被污染，那么，對于經常被調用的函
數，用objdump觀察動態庫和靜態庫，比較這些函數在動態庫和靜態庫中的代碼有沒有什
么區別。如果某個函數有區別，說明這個動態庫函數已被植入后門。

當然，如果靜態庫已經被污染，就需要干凈系統動態庫文件的一份拷貝了。用objdump來
對經常被調用的函數進行比較，檢查是否某個函數被植入后門。

另一種方法是，寫一個main()函數來調用這些經常被調用的函數，編譯后運行它。運行時
查看有沒有什么異常，特別是用netstat和lsof查看有無哪個端口或文件不正常地被打開。
如果有這些異常，說明相應函數被植入后門。做這件事時要特別小心，最好事先作好系統
備份，以防某些有害后門對系統造成傷害，比如說刪除某個文件。

如果檢測binary木馬后門和守護進程后門時發現異常，但又未發現某個可執行文件被換成
木馬，也沒有發現暗藏的后門程序，此時就要注意動態庫了，很可能是在動態庫做了手腳。

經常調用的函數列表

函數 | 所在的庫文件 | 簡單說明
-----------------+-----------------------+-----------------------
open | libc.so | . . .
-----------------+-----------------------+-----------------------
close | libc.so | . . .
-----------------+-----------------------+-----------------------
crypt | libcrypt.so | . . .
-----------------+-----------------------+-----------------------

(注意完成這個表)

為了檢測這類后門，下面給出一個shell腳本。從干凈系統上取得一個動態庫拷貝，用這
腳本進行比較，查看代碼有沒有什么區別，以確定是否被置入后門。

-------------------------------------------------------------------------------
此處代碼略
-------------------------------------------------------------------------------

7. SLKM后門

THC的slkm-1.0.tar.gz

-------------------------------------------------------------------------------
此處代碼略
-------------------------------------------------------------------------------

8. sniffer后門

sniffer用來監聽主機或網絡，以獲取敏感數據，比如帳號/口令。對于網絡監聽，可以查
看網絡接口是否處于混雜(promisc)模式后確定。

對Linux系統，在命令行執行ifconfig命令，如果發現PROMISC這個字符串，說明網絡接
口處于混雜(promisc)模式，排除合法用戶運行網絡協議分析程序后，意味著有sniffer在
運行。如果這樣，立即執行命令"lsof -n | grep sock"，對第五列TYPE字段為sock的那
些輸出行仔細檢查，確定出哪一個程序在sniffer，刪除之。

對于Solaris系統，用下面的方法來查出是否有某個進程在進行網絡監聽，它是正常運用
還是后門程序

# ifconfig -a # 列出活動的網絡接口
lo0: flags=849 mtu 8232
inet 127.0.0.1 netmask ff000000
hme0: flags=863 mtu 1500
inet 192.168.10.2 netmask ffff0000 broadcast 192.168.255.255
ether 8:0:20:b0:64:6d
# ls -l /dev/hme* # 查出網絡接口設備
lrwxrwxrwx 1 root other 29 Oct 9 1998 /dev/hme->../devices/pseudo/clone@0:hme
# ls -l /devices/pseudo/clone@0:hme # 細看一下
crw------- 1 root sys 11, 7 Oct 9 1998 /devices/pseudo/clone@0:hme
# lsof | grep "hme" # 用 lsof 查看是否處于混雜模式
snoop 7988 root 3u VCHR 7,2 0t0 423220 /devices/pseudo/clone@0:hme->bufmod->hme
# lsof | grep "clone@0:hme" # 同上
snoop 7988 root 3u VCHR 7,2 0t0 423220 /devices/pseudo/clone@0:hme->bufmod->hme
#

"lsof | grep ***" 有輸出，說明有監聽程序在運行，"***"是程序名，進一步仔細查證，
確定是否是后門程序。