RKhunter, Tripwire, etc. sont excellents, mais ne présentent vraiment d'intérêt que s'ils ont été installés avant l'incident - car ils sont parfaits pour détecter si les fichiers clés ont été modifiés. Si vous installez RKHunter maintenant et l'exécutez, il détectera l'inclusion de nombreux rootkits, mais il ne détectera aucune porte dérobée ouverte par un attaquant dans le système d'exploitation ou les applications que vous utilisez.
Par exemple, vous pouvez vous faufiler sur un ordinateur, créer un nouvel utilisateur, leur accorder des autorisations SSH et sudo, puis nettoyer après en laissant une configuration d'apparence légitime en place, et pas de rootkits - puis revenir plus tard et faire votre mal.
La meilleure chose à faire est de regarder quels ports ont des services qui les écoutent, puis de regarder la configuration de tous ces services et de vous assurer qu'ils sont tous légitimes. Examinez ensuite la configuration de votre pare-feu et verrouillez les ports dont vous n'avez pas besoin, à la fois en entrée et en sortie. Ensuite, installez RKHunter, etc. pour voir si certains script-kiddie y ont laissé un kit racine en désordre.
Pour être franc, il est probablement moins difficile de faire ce que JJ a suggéré et de reconstruire que de s'assurer absolument que l'ordinateur n'a pas été compromis. Ce sont les données qui sont précieuses, pas le système d'exploitation et la configuration (en dehors des heures de travail pour la configuration).
Vous ne serez jamais sûr qu'il n'a pas été craqué par quelqu'un de plus intelligent que vous.