>保留关键系统文件(例如ls,ps,netstat,md5sum)的原始副本,其中包含md5sum,并定期将它们与实时版本进行比较. Rootkit总是会修改这些文件.如果您怀疑原件已被盗用,请使用这些副本. > aide或tripwire将告诉您任何已修改的文件 – 假设他们的数据库未被篡改. >配置syslog以将日志文件发送到远程日志服务器,入侵者无法对其进行篡改.观察这些远程日志文件是否存在可疑活动 >定期阅读日志 – 使用logwatch或logcheck来合成关键信息. >了解您的服务器.知道什么样的活动和日志是正常的.