Qual è il modo migliore di agire quando si scopre che un account Linux non amministratore è stato acquisito e un singolo processo esterno è in esecuzione, effettuando ogni sorta di connessione di rete?
Ad esempio, come si può ottenere un'istantanea completa del processo per l'analisi futura?
Prendi in considerazione che il file eseguibile stesso potrebbe essere stato eliminato, quindi anche il file binario in sé dovresti trovare attraverso un inode con qualcosa come debugfs , ma c'è anche la questione di preservare altre prove.