[linux] Welke stappen te nemen tegen onbetrouwbare oude root

[Cecil Westerhof]

Ik ben door iemand benaderd waarvan de server was gekaapt door zijn
systeem beheerder. Ik heb door fysiek naar de server te gaan, de
wachtwoorden kunnen resetten. Daarnaast heb ik via 'passwd -l' en het
opnemen van /sbin/nologin in /etc/passwd de gebruikers die geen
toegang meer moeten hebben uitgeschakeld.

Echter de gebruiker is bang dat er backdoors en/of rootkits zijn
geïnstalleerd. Hoe kan ik controleren of deze op zijn systeem staan?
En als ik ze vind, hoe verwijder ik ze dan?

Zijn er nog andere zaken waar ik rekening mee moet houden?

Het beste is natuurlijk om het hele systeem opnieuw te installeren.
Dat gaat op termijn ook gebeuren, maar dat is nu nog geen optie.

-- 
Cecil Westerhof
Senior Software Engineer
LinkedIn: http://www.linkedin.com/in/cecilwesterhof