хакнули !?! :((((

1) Существуют, но гарантии, что сработают - мало. Ищи в инете. Можно просто снять диск и пошуршать по нему каким-нить дискэдитором.
2) Нету.
3) Да.
4) То, что ты ему указал, и туда, куда ты ему указал. Если ты не сделал ни того, ни другого - то молодец.

Да, под "Нету." у ssh означает, что она сама никаких логинов не создает. Ну а доступ ко всем уже существующим, само собой предоставляет. Ну к root'у там к примеру...

Наиболее корректный метод восстановления после хака (это не я придумал, это везде написано) -- бэкап _данных_ (ни в коем случае не софта!), переустановка с полным форматированием. Все остальное не гарантирует полного удаления возможно установленного руткита. После чего подписываемся как минимум на bugtraq и внимательно читаем.

2 ALL

так чем будут различаться логи от действий с консоли и и с ssh?

кроме одной единственной заппси что "1-jun-02 20:50 cOOLhaxeP loged in "

дальше, как я понимаю, все будет выглядеть как еслиб чел. сидел за клавой ?

есть security.log, там все входы юзеров через ssh отслеживаются, так и отмечается - ssh

К root'-у ssh доступа _не_дает_

/etc/ssh/sshd_config:

PermitRootLogin no

Такой конфиг по умолчанию, если кто поменял - молодец...

Если нет, то значит кто-то должен был откуда-то залогиниться как простой юзер и запустить exploit - тогда (возможно) появяться в messages какие-нибудь штуки про segmentation fault. Но если все логи снесли, где ж это увидишь....

P.S. хорошо пользовать DenyUsers, DenyGroups, MaxStartups, ListenAddress....