# laufende Prozesse mit diesen Tools
ps aux | egrep "wget|curl|(^|/)nc\b|ncat|bash -i" –color=auto
# PIDs + Kommandozeilen (falls vorhanden)
pgrep -a -f "wget|curl|(^|/)nc\b|ncat|bash -i" || true
# Offene Netzwerkverbindungen (wer redet mit wem) # was lauscht (LISTEN)
sudo ss -tulpen
# bestehende Verbindungen
sudo ss -tnp | egrep "ESTAB|TIME-WAIT" –color=auto
# Offene Dateien / Sockets pro Prozess (hilft, versteckte Verbindungen zu finden)
sudo lsof -i -P -n | egrep "wget|curl|nc|ncat|bash|ssh|python" –color=auto || true
# neue/ändern Dateien (letzte 2 Tage)
sudo find /tmp /dev/shm -type f -mtime -2 -ls
# Dateien mit ausführbaren Rechten in /tmp
sudo find /tmp /dev/shm -type f -perm /111 -ls
# Inhalt kurzer Dateien (schnell manuell prüfen)
sudo grep -R -nE "curl |wget |base64|nc |ncat|bash -i" /tmp /dev/shm 2>/dev/null || true
# Fehlversuche (Top IPs)
Beachte die " zeichen" werden auf deutsch umgeschrieben aber beide sollten oben stehen
sudo zgrep -h "Failed password" /var/log/auth.log* 2>/dev/null | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr | head -n 30
# Akzeptierte Logins (Top IPs)
sudo zgrep -h "Accepted password\|Accepted publickey" /var/log/auth.log* 2>/dev/null | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr | head -n 30
# Fail2Ban Bans (recidive)
sudo fail2ban-client get recidive banip