chkrootkit и rkhunter

Если вас правильно поимели, то эффективности ноль.

Сейчас на чёрном рынке навалом предложений о продаже rootkit'ов, которые 100% не определяются ни одной из этих програм.

rootkit'ы причём очень грамотные есть - записываются мимо FS, заражённым будет только grub. Так что даже при сканировании системы в offline вы не сможете их обнаружить (разве что вы в состоянии дизассемблировать загрузчик).

Вопрос лишь в том, насколько дырява ваша система (слабые пароли, пароли в plain text, хранящиеся на винте, дырявые сервисы/форумы/etc.) и насколько вы попали под руку хакерам.

Впрочем sniffer'ом на стороне (на соседнем сервере, например) вы можете, по крайней мере, обнаружить подключения к системе. Но и тут есть подвох - ваша система сама может совершать подобные действия, маскируясь под проверку обновлений и пр - всё зависит от автора заразы. b.

Спасибо, грамотно раскидали. В принципе так и думал.

>сможете их обнаружить (разве что вы в состоянии дизассемблировать загрузчик).

хэши ещё никто не запрещал... хэш не сходится, значит ай-ай-ай

ну а дальше всё зависит от степени паранои :)

> хэш не сходится, значит ай-ай-ай

hash MBR/Partition Boot Loader/Grub Stage 1.5/2.0? Вы их сохраняете? Они на каждой машине разные.

Вумные какие все пошли.

хэш ясно дело 20 GB для каждой машины, сохранить нереально

и по сети машину грузить тоже нереально

Лучше всего организовать многофункциональную защиту с разграничением прав для незарегестрированных пользователей вне системы. Сергей Баринов, Эксперт в области Linux-технологий.

Надо ставить Windows. Владимир Медведев, Эксперт в области Linux-технологий.