Что искать

Права

• world-writable файлы (777)
• неожиданные SUID
• cron-задачи от root

find / -perm -2 -type f

Пользователи

awk -F: '$3==0 {print}' /etc/passwd

Логи

Ключевые

• /var/log/auth.log
• /var/log/secure
• journalctl

Что опасно

• частые sudo
• failed login
• неожиданные сервисы

Автоматизация

• auditd
• osquery
• lynis