# laufende Prozesse mit diesen Tools

ps aux | egrep "wget|curl|(^|/)nc\b|ncat|bash -i" –color=auto

# PIDs + Kommandozeilen (falls vorhanden)

pgrep -a -f "wget|curl|(^|/)nc\b|ncat|bash -i" || true

# Offene Netzwerkverbindungen (wer redet mit wem) # was lauscht (LISTEN)

sudo ss -tulpen

# bestehende Verbindungen

sudo ss -tnp | egrep "ESTAB|TIME-WAIT" –color=auto

# Offene Dateien / Sockets pro Prozess (hilft, versteckte Verbindungen zu finden)

sudo lsof -i -P -n | egrep "wget|curl|nc|ncat|bash|ssh|python" –color=auto || true

# neue/ändern Dateien (letzte 2 Tage)

sudo find /tmp /dev/shm -type f -mtime -2 -ls

# Dateien mit ausführbaren Rechten in /tmp

sudo find /tmp /dev/shm -type f -perm /111 -ls

# Inhalt kurzer Dateien (schnell manuell prüfen)

sudo grep -R -nE "curl |wget |base64|nc |ncat|bash -i" /tmp /dev/shm 2>/dev/null || true

# Fehlversuche (Top IPs)

Beachte die " zeichen" werden auf deutsch umgeschrieben aber beide sollten oben stehen

sudo zgrep -h "Failed password" /var/log/auth.log* 2>/dev/null | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr | head -n 30

# Akzeptierte Logins (Top IPs)

sudo zgrep -h "Accepted password\|Accepted publickey" /var/log/auth.log* 2>/dev/null | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr | head -n 30

# Fail2Ban Bans (recidive)

sudo fail2ban-client get recidive banip