Você sempre pode verificar o /var/log/auth.log . Cada pedido de autenticação entrará no log. Aqui está, por exemplo, uma entrada de quando eu abri o gerenciador de atualização manualmente e cancelei quando o pop-up solicitou atualizações:
Sep 30 00:07:13 eagle pkexec[17815]: xieerqi: Executing command [USER=root] [TTY=unknown] [CWD=/home/xieerqi] [COMMAND=/usr/lib/update-notifier/package-system-locked]
E isso está executando manualmente apt-get :
Sep 30 00:10:24 eagle sudo: xieerqi : 1 incorrect password attempt ; TTY=pts/6 ; PWD=/home/xieerqi ; USER=root ; COMMAND=/usr/bin/apt-get update
Como você pode ver, o campo COMMAND informa qual privilégio raiz do aplicativo solicitou. A partir daí, você pode inspecionar a integridade desse arquivo executável examinando clamav ou ferramentas semelhantes. Se você está realmente preocupado com esse executável sendo comprometido, verifique se é a soma SHA, por exemplo,
sha1sum /usr/bin/apt-get
Se for alterado de alguma forma, você verá uma saída diferente de sha1sum .
Finalmente, lembre-se de praticar uma boa segurança sobre todas as senhas strongs e sem acesso remoto ao seu sistema (a menos que você realmente precise).