Vor kurzem musste ich einen gehackten Server bereinigen. Der böswillige Prozess würde in der Ausgabe von "ps aux" als "who" oder "ifconfig eth0" oder so ähnlich erscheinen, selbst wenn die ausführbare Datei nur ein Durcheinander von Buchstaben war, das in / proc / [pid] / status angezeigt wurde.
Ich bin gespannt, wie der Prozess es geschafft hat, sich so zu maskieren.