要查找电脑后门文件，可以采取以下几种方法：

记录文件stat信息

备份文件并删除可疑文件。

使用`stat`命令查看文件的详细信息，包括文件的创建时间、修改时间、访问权限等，以确定其是否为后门文件。

使用netstat命令

运行`netstat -anltp`命令查看当前连接信息及建立连接的进程PID。

通过`kill`命令终止可疑连接的进程，并通过`ls -al /proc/pid`命令找到后门文件路径。

检查进程

使用`ps aux`命令检查是否存在其他可疑进程。

结合`netstat`的结果，进一步确认可疑进程并定位其文件路径。

查看后门内容

如果后门文件是二进制文件，可以使用`strings`命令查找可能包含的连接信息，如IP地址或域名。

根据找到的IP地址，可以通过`iptables`限制连接；如果是域名，可以更改`/etc/hosts`文件指向域名至`127.0.0.1`。

检查启动项

检查`/etc/rc.local`文件及`/etc/rcX.d`目录下的文件，判断是否有恶意程序被添加至开机启动。

检查`/etc/crontab`文件、`/var/spool/cron/crontabs/`下文件、`/etc/cron.X/`下文件，判断是否有恶意程序被添加至开机启动。

检查临时文件

由于许多后门程序会将文件放置在`/tmp`目录下，建议检查该目录下是否存在可疑文件。

使用文件搜索工具

利用系统自带的搜索功能或第三方搜索软件（如腾讯桌面整理软件）来快速查找特定类型的文件或文件内容。

结合文件特征进行搜索

根据文件的修改时间（mtime）和特征字符串，使用`find`命令或其他搜索工具来查找其他后门文件。

通过上述方法，可以有效地查找和定位电脑中的后门文件，并采取相应的措施进行清理和防范。建议定期进行系统安全检查，以确保电脑的安全性。