# nmap -v -P0 -sU -sT -p 1-65535 IP_ADDRESS

Таким образом, проверим все TCP- и UDP-порты, хотя это и займет некоторое время.

Свежеустанавливаемый софт проверяем при помощи контрольной суммы md5sum (http://www.gnu.org/software/textutils/textutils.html). Те, кто пользуется rpm-based дистрибутивами, могут воспользоваться возможностями этого менеджера пакетов. Когда устанавливается новая программа, то данные о пакете в целом и отдельных файлах, его составляющих, в том числе и контрольная сумма, заносятся в базу данных. Поэтому, введя команду:

# rpm -Va > file

можно получить представление об измененных файлах. Если файл окажется пустой, то изменений нет, но, правда, это еще не подтверждает, что система чиста. Но вот если появятся подобные строки:

# rpm –Va

S.5....T c /etc/hotplug/usb.usermap

S.5....T c /etc/sysconfig/pcmcia

то измененные файлы необходимо проверить:

n  M – отличается состояние (включая разрешения и тип файла).

n  S – отличается размер файла.

n  5 – отличается сумма MD5 .

n  D – не соответствует число основных/второстепенных устройств.

n  L – не соответствует путь readLink(2).

n  U – отличается пользователь-владелец.

n  G – отличается группа-владелец.

n  T – отличается mTime.

Чтобы не возиться со всей системой и немного упростить задачу, в первую очередь необходимо проверять пакеты net-tools, fileutils, util-linux, procps, psmisc, и findutils (командой rpm -V имя_пакета). Правда, в приведенном примере это все конфигурационные файлы, в которых, естественно, появились изменения по сравнению с оригиналом, а вот если будут попадаться файлы из каталогов, содержащих исполняемые файлы, то необходимо насторожиться. При помощи команды rpm -qf /path/to/file можно проверить, является ли данный файл частью пакета. Обнаруженное расхождение можно, естественно, предварительно сохранив измененные файлы для дальнейшего изучения, тут же восстановить.