Checking `chfn'... not infected

и так далее.

Утилита имеет три, на мой взгляд, заслуживающих ключа работы. Если хотите проверить систему, загрузившись с другого компьютера или при помощи LiveCD, то при помощи ключа -r можно указать каталог, который будет использован как корневой при поиске.

# ./chkrootkit -r /mnt/test

Так как chkrootkit использует для своей работы некоторые типичные UNIX-утилиты (awk, cut, egrep, find,head, id, ls, netstat, ps, strings, sed, uname), которые могут быть компрометированы, то во избежание ошибки при поиске необходимо использовать статически скомпилированные версии этих утилит (опять же сохранив их где-нибудь подальше), а каталог, где они находятся, указать при помощи ключа -p:

# ./chkrootkit -p /mnt/safebin

Для исследования подозрительных строк в двоичных файлах можно ее запустить в опытном режиме, использовав ключ -х:

# ./chkrootkit -x | more

Утилита ifpromisc позволяет определить, находится ли сетевой интерфейс в PROMISCIOUS-режиме.

#./ ifpromisc

eth0 is not promisc

За обнаружения троянов в модулях ядра отвечают утилиты chkproc и chkdirs. Утилиты chklastlog, chkwtmp и check_wtmpx проверяют удаление данных в лог-файлах, strings обеспечивает работу со строками. И еще на сайте утилиты имеется большое количество ссылок на материалы по теме статьи.

Команда find (если ей можно доверять) может обнаружить файлы и каталоги, чьи имена начинаются с точки (или с пробела с точкой), которые обычно используют взломщики для хранения своих данных.

# find /  -name "*.*"

Утилита rkdet (http://vancouver-webpages.com/rkdet) представляет собой демон, который обнаруживает попытку установки rootkit или сниффера. При обнаружении такой попытки системному администратору посылается уведомление по e-mail, протоколирует его в logfile, может отключить систему от сети или вовсе остановить ее. Не требует перекомпиляции вместе с ядром.