yasulibさんのコメントに対する回答
今回のお題は、仮想マシン単体、なので以下の条件があります。出血大サービス。
・chkrootkitなどの外部プログラムは用意していません。人間、楽をしてはいけません。コンピュータフォレンジックの現場では手足を縛られて調査をしなければならないことも多々あります。 ・ログサーバなど、別だしで用意していません。 ・nmapでホストOSからポートスキャンするのは良いアイデア ・Backdoorポートが発見された場合、そのBackdooreプログラムを探す方法は? ・侵入者はまぬけなので、いろいろな所に痕跡を残していので、もうちょっと 詳しく書くとLinux標準のコマンド、標準の機能(各種ログ等)で侵入者が どういう行動をしたか想像しながら探すのがポイントです。 ・ぶっちゃけ、rootkitは仕掛けられていますが、汚染されていないコマンド も残っています。