- Vérifier les logs (/var/log/secure), essayer de voir s'il n'y a pas de trou, de bonds dans le temps.
- Vérifier les comptes dans /etc/passwd, pas de nouveau compte ou changement de "no login" en bash par exemple.
- Vérifier les dates de modifications sur les commandes telles que ps, ssh, stat, ls
- Vérifier le fichier .bash_history dans /root
- Controller l'intégrité des rpm installés (rpm -Va)
- Vérifier les processus qui tournent, détecter les process cachés
- Recherche de fichier contenant "root" pour les keyloggers
- Installer chkrootkit et/ou rkhunter