debsums, mas ele só irá checar arquivos instalados por pacotes, ele não pode falar sobre arquivos extras.
Eu tenho um sistema que possivelmente foi rootkited (o bot do IRC foi instalado e os atributos + ai foram definidos em / usr / bin, / usr / sbin, / bin, / sbin). Os bots de IRC foram deletados e o sistema foi atualizado para 5.0.4 de 4.0. Temo que algo nas pastas que mencionei tenha sido modificado. Não consigo reinstalar a caixa, então há alguma maneira de verificar a integridade do sistema? Eu já verifiquei o rkhunter e o chrootkit.
Quando um sistema é comprometido, você nunca tem certeza se tudo foi limpo, e a melhor solução é sempre reinstalar o sistema, mas é necessário fazer algumas perícias para evitar que isso aconteça novamente.
O chkrootkit e o rkhunter são bons verificadores de rootkits, mas não são infalíveis.
Além disso, execute o nmap a partir de uma máquina externa e veja se há alguma porta aberta que você não está esperando.
Odebsums também é uma boa ajuda na verificação de binários comprometidos.
E você tem alguma idéia de como o hacker conseguiu acesso à máquina e qual serviço era vulnerável? Concentre-se especialmente lá (mas não só lá). Veja se há problemas conhecidos com essa versão de software. Verifique todos os registros possíveis que você tem em seu sistema de arquivos. Se você tem um aplicativo de tendência mrtg (como gânglios, munin ou cactos), verifique-o quanto aos possíveis períodos de tempo do ataque.
Você também deve analisar sua máquina considerando os seguintes tópicos:
feche os serviços de que você não precisa
faça um backup de teste regularmente
siga o princípio de privilégio mínimo
atualize seus serviços, especialmente em relação às atualizações de segurança
não use credenciais padrão
Que tal usar o AIDE?
Debian tem a ferramenta incrível: chkrootkit
aptitude install chkrootkit :)