Eu não tenho um patch de interceptação no nível do kernel, mas este script de captura de shell rápido e sujo pode ser colocado em /etc/profile.d :
if [ -z $INSCRIPT ]; then
export INSCRIPT=1
DATE='date "+%Y%m%d%H%M%S"'
TTY='tty | tr "/" "_"'
script -qf "/tmp/${DATE}${TTY}.log" && exit
fi
Isto irá criar arquivos em / tmp no formato TIMESTAMP_TTY.log e irá gravar quase todas as entradas / saídas (incluindo caracteres especiais). O script em si não é anunciado graças à sinalização silenciosa, mas é facilmente identificado na tabela de processos se um invasor pensa em procurar.
Como você ainda tem acesso ao sistema, pode sempre recuperar esses registros remotamente, em vez de eliminá-los (configurar o sistema para enviar esses arquivos para um local remoto abre outro alvo para o invasor).