Исправление Andrey_Utkin, (текущая версия) :
Перевёл бы весь служебный софт в контейнеры/виртуалки и напихал бяку внутрь них, чтобы сложнее было инспектировать. Чтобы бяка не отсвечивала в списке процессов зря, положить в cron-файл скрипт, который будет по ночам читать команды из документа по HTTP URL, например. Более простой вариант, который видел на практике - IRC-клиент с шеллом.
Ещё можно оставить системы со старыми уязвимыми бинарями, а обновление машины сломать нарочно, чтобы стандартными средствами и безболезненно нельзя было обновиться. Например, можно какой-то эзотерический дистрибутив впилить, который больше не выпускается. А вообще совет про переход на Windows - зачётный.
Исходная версия Andrey_Utkin, :
Перевёл бы весь служебный софт в контейнеры/виртуалки и напихал бяку внутрь них. Чтобы бяка не отсвечивала в списке процессов зря, положить в cron-файл скрипт, который будет по ночам читать команды из документа по HTTP URL, например. Более простой вариант, который видел на практике - IRC-клиент с шеллом.
Ещё можно оставить системы со старыми уязвимыми бинарями, а обновление машины сломать нарочно, чтобы стандартными средствами и безболезненно нельзя было обновиться. Например, можно какой-то эзотерический дистрибутив впилить, который больше не выпускается. А вообще совет про переход на Windows - зачётный.