Перефразирую одну известную фразу - если вы не знаете, что такое руткиты, это ещё не означает, что у вас их нет :) Есть пара интересных утилит rkhunter, chkrootkit, позволяющих провеить свой сервак на наличие закладок.
1) Установка rkhunter происходит просто:
apt-get install rkhunter
Перед запуском рекомендуется обновить базы
rkhunter --update
Запуск производится следующим образом
rkhunter -c -sk
После запуска пойдут тесты системы
Rootkit Hunter 1.2.9 is running
Determining OS... Ready
Checking binaries
* Selftests
Strings (command) [ OK ]
* System tools
Performing 'known bad' check...
/bin/cat [ OK ]
/bin/chmod [ OK ]
/bin/chown [ OK ]
/bin/csh [ OK ]
/bin/date [ OK ]
/bin/df [ OK ]
/bin/dmesg [ OK ]
/bin/echo [ OK ]
/bin/ed [ OK ]
/bin/egrep [ OK ]
/bin/fgrep [ OK ]
/bin/grep [ OK ]
/bin/kill [ OK ]
/bin/login [ OK ]
......................
---------------------------- Scan results ----------------------------
MD5 scan
Scanned files: 0
Incorrect MD5 checksums: 0
File scan
Scanned files: 342
Possible infected files: 0
Application scan
Vulnerable applications: 0
Scanning took 15 seconds
Если везде "нулики" - значит всё нормально. Если нет - "пилите, Шурочка, пилите"
2) Установка chkrootkit также не должна вызвать проблем
apt-get install chkrootkit
Проверка на руткиты
chkrootkit
Поползут строчки типа
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
...................
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Если всё нормально - можете спать спокойно :)
PS: Насколько качественно данные утилиты проверяют вашу систему, я сказать не могу, но какой-то процент руткитов всё равно могут отлавливать. Поэтому лучше хоть что-нибудь вместо ничего.
