پاسخ : راهنمایی در تشخیص هک شدن یا نشدن من

ادامه توضیحات پست قبل

ادامه توضیحات اون لینک دستورات ls -la  و ls -lab  رو گفت که خروجی هردو رو ضمیمه کردم ولی من که دیدم خروجی هردو دستور یکی بود!
دستورهای ls " " -la  و ls ".. " -la  رو زدم ولی ارور دادls: cannot access .. : No such file or directory
خروجی ls / -la  رو ضمیمه کردم
خروجی ls .. / -la

/:
total 108
drwxr-xr-x  24 root root  4096 آوریل 22 13:58 .
drwxr-xr-x  24 root root  4096 آوریل 22 13:58 ..
drwxr-xr-x   2 root root  4096 دسامب 25 22:47 bin
drwxr-xr-x   3 root root  4096 نوامب 24 16:31 boot
drwxrwxr-x   2 root root  4096 ژوئیه  7  2015 cdrom
drwxr-xr-x  17 root root  4220 آوریل 22 16:13 dev
drwxr-xr-x 166 root root 12288 آوریل 22 16:13 etc
drwxr-xr-x   3 root root  4096 ژوئیه  7  2015 home
lrwxrwxrwx   1 root root    33 ژوئیه  7  2015 initrd.img -> boot/initrd.img-3.16.0-43-generic
lrwxrwxrwx   1 root root    33 ژوئیه  7  2015 initrd.img.old -> boot/initrd.img-3.16.0-23-generic
drwxr-xr-x  27 root root  4096 نوامب 24 16:31 lib
drwxr-xr-x   2 root root  4096 ژوئیه  8  2015 lib32
drwxr-xr-x   2 root root  4096 ژوئیه  7  2015 lib64
drwx------   2 root root 16384 ژوئیه  7  2015 lost+found
drwxr-xr-x   3 root root  4096 ژوئیه  7  2015 media
drwxr-xr-x   3 root root  4096 اوت    8  2015 mnt
drwxr-xr-x   6 root root  4096 فوریه 27 15:10 opt
dr-xr-xr-x 288 root root     0 آوریل 22 11:14 proc
drwx------  10 root root  4096 ژانوی 27 18:55 root
drwxr-xr-x  33 root root  1100 آوریل 22 15:17 run
drwxr-xr-x   2 root root 12288 نوامب 24 16:31 sbin
drwxr-xr-x   2 root root  4096 اكتبر 22  2014 srv
dr-xr-xr-x  13 root root     0 آوریل 22 13:58 sys
drwxrwxrwt   6 root root  4096 آوریل 22 16:30 tmp
drwxr-xr-x  12 root root  4096 نوامب  6 14:47 usr
drwxr-xr-x  14 root root  4096 نوامب 22 22:05 var
lrwxrwxrwx   1 root root    30 ژوئیه  7  2015 vmlinuz -> boot/vmlinuz-3.16.0-43-generic
lrwxrwxrwx   1 root root    30 ژوئیه  7  2015 vmlinuz.old -> boot/vmlinuz-3.16.0-23-generic

..:
total 12
drwxr-xr-x  3 root  root  4096 ژوئیه  7  2015 .
drwxr-xr-x 24 root  root  4096 آوریل 22 13:58 ..
drwxr-xr-x 40 secsec secsec 4096 آوریل 22 15:23 secsec

خروجی cat /etc/issue
Ubuntu 14.10 n l

خروجی uname -a
Linux linuxsys 3.16.0-43-generic #58-Ubuntu SMP Fri Jun 19 11:04:02 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

خروجی
Linux version 3.16.0-43-generic (buildd@comet) (gcc version 4.9.1 (Ubuntu 4.9.1-16ubuntu6) ) #58-Ubuntu SMP Fri Jun 19 11:04:02 UTC 2015
خروجی ls -la --author  و ls -l --time=access  رو ضمیمه کردم
بعدش دستور file رو گفته شده.فکر کنم این رو باید واسه یه فایل مشکوک استفاده کنیم.اگه جای خاصی باید استفاده بشه بگید
دستور watch -d "netstat -nalp |grep -v DGRAM |grep -v STREAM |grep -v LISTEN"  رو هم زدم ولی انگار داشت دائم لود میشد ی کم وایسادم دیدم تموم نمیشه خروجی همونو برداشتم و ضمیمه کردم توی همین پست
دستور watch "netstat -nalp"|grep ":TCP PORT Number"  و watch "netstat -nalp"|grep ":22"  رو زدم ولی دائم داره لود میشه و اصلا خروجی ای نمیده
دستور updatedb &
[1] 5722
خروجی for i in `locate access_log` ; do echo $i ; egrep -i '(chr(|system()|(curl|wget|chmod|gcc|perl)%20' $i ; done
/usr/share/cups/doc-root/help/ref-access_log.html
grep: Unmatched ( or (
/var/log/cups/access_log
grep: Unmatched ( or (
/var/log/cups/access_log.1
grep: Unmatched ( or (
/var/log/cups/access_log.2.gz
grep: Unmatched ( or (
/var/log/cups/access_log.3.gz
grep: Unmatched ( or (
/var/log/cups/access_log.4.gz
grep: Unmatched ( or (
/var/log/cups/access_log.5.gz
grep: Unmatched ( or (
/var/log/cups/access_log.6.gz
grep: Unmatched ( or (
/var/log/cups/access_log.7.gz
grep: Unmatched ( or (خروجی  egrep -i '(chr(|system()|(curl|wget|chmod|gcc|perl)%20' /path/to/log/files/*
grep: Unmatched ( or (

خروجی egrep -i '(chr(|system()|(curl|wget|chmod|gcc|perl)%20' /usr/local/apache/logs/*
grep: Unmatched ( or (

خروجی egrep -i '(chr(|system()|(curl|wget|chmod|gcc|perl)%20'/home/virtual/site*/fst/var/log/httpd/*
grep: Unmatched ( or (خروجی egrep -i '(chr(|system()|(curl|wget|chmod|gcc|perl)%20' /home/httpd/vhosts/*/statistics/logs/*
grep: Unmatched ( or (
خروجی egrep -i '(chr(|system()|(curl|wget|chmod|gcc|perl)%20' /var/log/httpd/*
grep: Unmatched ( or (
دستوری برای پیدا کردن  Shell Code بود cat /path/to/access/logs/* |grep "/x90/"  که باید بهش مسیر بدیم.چه مسیری رو به دستور بدم؟
دستور locate .bash_history  هم زدم خروجیش اینا بود.چی این رو باید بررسی کرد؟
/home/secsec/.bash_history
/root/.bash_history
خروجی locate access_log  درخصوص اینکه باید خروجی های این دستور رو چه بررسی ای کنیم هم توضیحی بدید
/usr/share/cups/doc-root/help/ref-access_log.html
/var/log/cups/access_log
/var/log/cups/access_log.1
/var/log/cups/access_log.2.gz
/var/log/cups/access_log.3.gz
/var/log/cups/access_log.4.gz
/var/log/cups/access_log.5.gz
/var/log/cups/access_log.6.gz
/var/log/cups/access_log.7.gz
خروجی locate "..."
/home/secsec/.cache/.fr-59KE7S/Amozesh_haye python... - www.python.org  .pdf
/home/secsec/.cache/.fr-MKo7sK/Amozesh_haye python... - www.python.org  .pdf
/home/secsec/.cache/.fr-Omq2pz/Amozesh_haye python... - www.python.org  .pdf
/home/secsec/.config/ubuntu-tweak/scripts/Copy to ...
/home/secsec/.config/ubuntu-tweak/scripts/Create Launcher ...
/home/secsec/.config/ubuntu-tweak/scripts/Create hardlink to ...
/home/secsec/.config/ubuntu-tweak/scripts/Link to ...
/home/secsec/.config/ubuntu-tweak/scripts/Move to ...خروجی locate ".. "
/home/secsec/.cache/.fr-59KE7S/Amozesh_haye python... - www.python.org  .pdf
/home/secsec/.cache/.fr-MKo7sK/Amozesh_haye python... - www.python.org  .pdf
/home/secsec/.cache/.fr-Omq2pz/Amozesh_haye python... - www.python.org  .pdf
خروجی locate " .."
/home/secsec/.config/ubuntu-tweak/scripts/Copy to ...
/home/secsec/.config/ubuntu-tweak/scripts/Create Launcher ...
/home/secsec/.config/ubuntu-tweak/scripts/Create hardlink to ...
/home/secsec/.config/ubuntu-tweak/scripts/Link to ...
/home/secsec/.config/ubuntu-tweak/scripts/Move to ...
خروجی locate ". "
/home/secsec/.cache/.fr-59KE7S/Amozesh_haye python... - www.python.org  .pdf
/home/secsec/.cache/.fr-7Hiu5G/sadegh/03. siavash [128].mp3
/home/secsec/.cache/.fr-E9Feha/sadegh/02. siavash [128].mp3
/home/secsec/.cache/.fr-MKo7sK/Amozesh_haye python... - www.python.org  .pdf
/home/secsec/.cache/.fr-OV0EsY/sadegh/02. siavash [128].mp3
/home/secsec/.cache/.fr-Omq2pz/Amozesh_haye python... - www.python.org  .pdf
/home/secsec/.cache/.fr-OoMHO5/sadegh/01. siavash [128].mp3
/home/secsec/.cache/.fr-cfxbPx/sadegh/01. siavash [128].mp3
/home/secsec/.cache/.fr-kLraY6/sadegh/03. siavash [128].mp3
/home/secsec/.cache/.fr-m759Fl/sadegh/01. siavash [128].mp3
/home/secsec/.cache/.fr-pt7NRQ/sadegh/03. siavash [128].mp3
/home/secsec/.cache/.fr-vCC2U8/sadegh/02. siavash [128].mp3خروجی locate " ."
/home/secsec/.cache/.fr-07nw2T/Yas - album/02 - 1 .mp3
/home/secsec/.cache/.fr-59KE7S/Amozesh_haye python... - www.python.org  .pdf
/home/secsec/.cache/.fr-5KnMio/Yas - album/05 - 2  .mp3
/home/secsec/.cache/.fr-AOSuRK/Yas - album/08 - 3  .mp3
/home/secsec/.cache/.fr-AaIMEI/Yas - album/10 - 4  .mp3
/home/secsec/.cache/.fr-L5V9AB/Yas - album/07 - 5 .mp3
/home/secsec/.cache/.fr-LFX9AY/Yas - album/06 - 6 .mp3
/home/secsec/.cache/.fr-MKo7sK/Amozesh_haye python... - www.python.org  .pdf
/home/secsec/.cache/.fr-Omq2pz/Amozesh_haye python... - www.python.org  .pdf
/home/secsec/.cache/.fr-QHr3jP/Yas - album/07 - 7 .mp3
/home/secsec/.cache/.fr-chOz3l/Yas - album/03 - 8 .mp3
/home/secsec/.cache/.fr-eloovI/Yas - album/09 - 9  .mp3
/home/secsec/.cache/.fr-jgS3MQ/Yas - album/04 - 10 .mp3
/home/secsec/.cache/.fr-jngoUP/Yas - album/10 - 11  .mp3
/home/secsec/.cache/.fr-uoUZ4K/Yas - album/11 - 12 .mp3
/home/secsec/.cache/.fr-x2NyCh/Yas - album/08 - 13  .mp3
/home/secsec/.cache/.fr-y2UfN0/Yas - album/09 - 14  .mp3
/home/secsec/.config/ubuntu-tweak/scripts/Copy to ...
/home/secsec/.config/ubuntu-tweak/scripts/Create Launcher ...
/home/secsec/.config/ubuntu-tweak/scripts/Create hardlink to ...
/home/secsec/.config/ubuntu-tweak/scripts/Link to ...
/home/secsec/.config/ubuntu-tweak/scripts/Move to ...
دو دستور آخر یعنی whois 12.34.56.78  و egrep "12.34.56.78 /var/log/* رو هم بگید دقیقا واسه چه آیپی ای استفاده کنم و چطور اون آیپی رو بدست بیارم تا با این دستور اضافه کنم

میدونم خیلی بهتون زحمت دادم ولی ممنون میشم راهنماییم کنید.امیدوارم اینو هم کمکم کنید که از نگرانی دربیام
تشکر فراوان

اوبونتو...