Въведение
Най уязвимите компютърни места могат да бъдат експлоатирани по различни начини. За хакерска атака може да се използва един експлоит, няколко такива по едно и също време, неправилна конфигурация в някой от системните компоненти или дори задна врата от по-ранна атака.
Поради това, откриването на хакерска атака не е лесна задача, особено за неопитни потребители. Този документ дава няколко основни указания, които да Ви помогнат да установите дали Вашата машина е подложена на атака или сигурността на Вашата система е изложена на риск. Имайте предвид обаче, че точно като при вирусите няма 100% гаранция че ще засечете хакерска атака по този начин. Както и да е, ако Вашата система е подложена на хакерска атака, то тя би-трябвало да покаже един или повече от следните симптоми:
 

Windows машини:

Подозрително много изходящ трафик
Ако забележите, че изходящия Ви трафик е в необичайно големи количества (особено когато не използвате Вашият компютър), тогава е възможно той да бъде изложен на риск. Компютърът Ви може да бъде използван за изпращане на спам или е заразен с червей, който се размножава и самоизпраща.

Повишена активност на Вашия хард диск
Повишена активност на Вашия хард диск или подозрително изглеждащи файлове, които се намират в главната директория на което и да е устройство от диска Ви. След разбиване и влизане в дадена система (тоест след хакване на дадена система) много хакери извършват масирано сканиране за интересни документи или файлове, съдържащи пароли или акаунти за пощи, социални мрежи и интернет банкиране. По същия начин някои червеи претърсват твърдия диск за файлове, съдържащи e-mail адреси, които да използват за пропаганда и разпространение на спам. Ако забележите по-голяма дискова активност, особено когато Вашият компютър не се използва и подозрително наименовани файлове в стандартните папки на операционната система, това може да означава, че Вашият компютър е хакнат или е заразен с червей (тоест вирус) или шпионски програми.

Голям брой пакети от един и същ адрес
Голям брой пакети, които идват от един и същ адрес и които защитната Ви стена спира. След като определят мишената (тоест IP адресът на Вашият компютър) хакерите обикновено използват автоматични средства за атаки към компютрите, чрез които да проникнат в тях. Ако използвате защитна стена (основен елемент в защитата от хакерски атаки) и забележите, че има необичайно голям брой блокирани пакети, които идват от един и същ адрес, това означава, че Вашият компютър е подложен на хакерска атака. Добрата новина е, че ако защитната стена Ви уведомява за тези пакети, то най-вероятно сте в безопасност. Както и да е, в зависимост от това колко услуги предлагате или използвате в интернет има вероятност защитната стена да не може да ви предпази от атака насочена срещу определена FTP услуга, която е стартирана на Вашата система и се използва от всички. В този случай решението е да блокирате атакуващото Ви IP временно докато връзката не бъде прекратена. Много защитни стени и IDS-и притежават тази функция.

Чести съобщения от антивирусната програма
Вашата антивирусна програма внезапно започва да Ви показва съобщения, че са засечени троянски коне или програми със задни вратички, особено ако не правите нещо извън границите на обичайните дела с Вашият компютър. Макар че хакерските атаки могат да бъдат сложни и оригинални, много от тях разчитат на троянски коне или програми със задни вратички, за да имат пълен достъп до Вашата система. Ако резидентния компонент на Вашата антивирусна програма засича и Ви предупреждава за такива програми, то това означава, че Вашата система може да бъде достъпна от вън.
 

Unix машини:

Подозрителни файлове в папка /tmp
Много експлоити в света на Unix разчитат на създаването на временни файлове в стандартната папка /tmp, които не винаги се изтриват след хакването на системата. Същото се отнася и за някои червеи, които заразяват Unix системи. Те се прекомпилират в /tmp папката и я използват като "дом".

Модифицирани бинарни системи
Модифицирани бинарни системи като 'login', 'telnet', 'ftp', 'finger' или по-сложните демони като 'sshd', 'ftpd' и други. След разбиването на системата хакерите обикновено се опитват да си осигурят достъп до нея като имплантират задна врата в някой от демоните с директен достъп от Интернет, или като модифицират стандартните системни средства, които се използват за връзка с друга система. Модифицираните бинарни инструменти обикновено са част от администраторския пакет програми и трудно се забелязват с просто преглеждане. Във всички случаи е добра идея да поддържате база данни с всички чексуми (checksum) за всяко системно средство и периодично да ги проверявате, като системата Ви е офлайн в режим на един потребител.

Съмнителни потребителски имена
Модифицирани /etc/passwd, /etc/shadow или други системни файлове в /etc директорията. Понякога хакерските атаки целят добавянето на нов потребител в /etc/passwd, с който може да се влезе в системата. Проверявайте за подозрителни потребителски имена във файла с паролите, особено при многопотребителска система.

Подозрителни услуги
Подозрителни услуги добавени в /etc/services. Отварянето на задна врата в Unix система понякога е добавянето само на два текстови реда. Това става чрез модифицирането на /etc/services и /etc/ined.conf файлове. Внимателно следете тези два файла за добавени редове, което може да бъде задна врата през неизползван или подозрителен порт.