Het eerst wat je kunt doen is de bestanden op de server op datum sorteren. Als er malware opstaat is die vaak geupload, en de datum is dan relatief recent. Inspecteer vervolgens die bestanden (ook als ze bijvoorbeeld de extensie .txt hebben). Kijk of er php code of een script in staat en probeer te volgen wat het doet. Je kunt bijvoorbeeld de datum van installatie zien in nieuw aangemaakte directories. Kijk of dat binnen de normale tijden valt waarop jij zelf of de site eigenaar werk op de server verricht. Als een crimineel software heeft geinstalleerd, dan gaat dat vaak gepaard met meerdere scripts (achterdeurtjes), waarlangs hij weer naar binnen kan. Met een tool als Midnight Commander kun je timestamps zien en bestanden snel inhoudelijk bekijken. Voordat je begint eerst een forensische kopie (zoek op: "forensic copy") maken. Tenslotte: iedereen die toegang heeft tot de server moet zijn eigen PC grondig scannen met meerdere scanners. Vaak worden wachtwoorden gestolen via malware op besmette computers. ...