# rpm -Uvh -force <имя_файла.rpm>

Программы проверки контроля целостности системы типа Tripwire (http://www.tripwire.org) или AIDE – Advanced Intrusion Detection Environment (http://www.cs.tut.fi/~rammer/aide.html) позволяют автоматизировать процесс подсчета контрольных сумм и выдачи результата сравнения. Но при их использовании желательно базу держать на отдельном носителе, тем самым также защищая ее от модификации. Также возможное заражение может подсказать непривычное поведение любимой утилиты, т.к. ее протрояненный вариант может иметь немного отличающиеся опции запуска.

И наконец специально обученная на нахождение rootkit утилита – chkrootkit (http://www.chkrootkit.org), которая выдаст предупреждение в случае, если на машине появится какой-либо известный ей rootkit. Обращаю еще раз внимание на слово «известный», так как ситуация в данном случае аналогична таковой с антивирусами, определяя с ходу уже зарегистрированный вирус, те могут пропустить что-то новенькое. Пакет состоит из нескольких утилит, выполняющих свою задачу. Так, утилита chkrootkit проверяет сигнатуры в следующих файлах: aliens, asp, bindshell, lkm, rexedcs, sniffer, wted, w55808, scalper, slapper, z2, amd, basename, biff, chfn, chsh, cron, date, du, dirname, echo, egrep, env, find, fingerd, gpm, grep, hdparm, su, ifconfig, inetd, inetdconf, init, identd, killall, ldsopreload, login, ls, lsof, mail, mingetty, netstat, named, passwd, pidof, pop2, pop3, ps, pstree, rpcinfo, rlogind, rshd, slogin, sendmail, sshd, syslogd, tar, tcpd, tcpdump, top, telnetd, timed, traceroute, vdir, w, write. И на момент моего последнего посещения обнаруживала 51 известных типа rootkit и тестировалась на Linux, FreeBSD, OpenBSD, NetBSD, Solaris, HP-UX 11, True64 и BSDI. Установка заключается в выполнении команды make sense, компиляция обычно проходит без проблем. И далее запускаем:

# ./chkrootkit

ROOTDIR is `/'

Checking `amd'... not found

Checking `basename'... not infected

Checking `biff'... not found