RKhunter, Tripwire itp. Są świetne, ale naprawdę przynoszą korzyść, jeśli zostały zainstalowane przed incydentem - ponieważ doskonale nadają się do wykrywania, czy kluczowe pliki zostały zmienione. Jeśli zainstalujesz teraz RKHunter i uruchomisz go, wykryje włączenie wielu rootkitów, ale nie wykryje żadnych backdoorów, które atakujący otworzyłby w systemie operacyjnym lub używanych aplikacjach.
Na przykład możesz zakraść się do komputera, utworzyć nowego użytkownika, nadać mu uprawnienia SSH i sudo, a następnie posprzątać, pozostawiając legalnie wyglądającą konfigurację i brak rootkitów - potem wróć później i zrób swoje zło.
Najlepiej jest sprawdzić, które porty nasłuchują na portach, a następnie sprawdzić konfigurację wszystkich tych usług i upewnić się, że wszystkie są legalne. Następnie sprawdź konfigurację zapory i zablokuj niepotrzebne porty, zarówno wejściowe, jak i wyjściowe. Następnie zainstaluj RKHunter itp., Aby zobaczyć, czy jakiś skrypciarz upuścił tam rootowanie.
Szczerze mówiąc, prawdopodobnie mniej pracy wymaga zrobienie tego, co JJ zasugerował i przebudowanie, niż absolutne upewnienie się, że komputer nie został naruszony. Cenne są dane, a nie system operacyjny i konfiguracja (oprócz osobogodzin przy konfiguracji).
Nigdy nie będziesz pewien, że nie był złamany przez kogoś mądrzejszego od ciebie.