Что нужно проверить, дав рута чужим?

[butteff]

Здравствуйте.
Целую ночь у малознакомого человека оказался пароль от sudoers юзера.

Что стоит сделать и проверить на предмет безопасности системы?

1. Антивирусом clamav прогнал
2. Новых юзеров в /etc/passwd не заметил
3. Пароли рута сменил.

Вопоросы:

1. Что необходимо сделать в первую очередь?
2. Может ли рут пользователь видеть пароли других юзеров? Стоит ли менять пароли всем?
3. Может ли рут видеть пароли пользователей mysql? Стоит ли менять все пароли там?
4. Существуют ли способы в природе выявить наличие веб шеллов?
5. Какие конфиги необходимо перепроверить? (ssh и ftp на наличие виртуальных юзеров просмотрел)
6. Что необходимо сделать еще?

[ChaosWarrior]

Получен root - переустанови систему. Ессно, всем назначить новые пароли.

[butteff]

Переустанавливать крайне не хочется

[ChaosWarrior]

Рекомендации прежние.

Скорее всего, там ничего нет. Но если есть и внедрялось специально - удачи в поисках. Только она и поможет.

[Vitsliputsli]

В принципеChaosWarrior правильно написал.
Пароли никто видеть не может, т.к. паролей в открытом виде не существует. Но можно скопировать хэши паролей и подобрать по ним. Так что пароли однозначно поменять все.
А в остальном, если человек был творческий, то тут действитлеьно только случайно можно что-то найти.

А backup нет? Можно было бы восстановить и поменять пароли - самый лучший вариант.

[acidpeople]

Вы тут не пугайте шибко творческими личностями . А то мне мастеру через неделю ноут нести в ремонт.С 2я ОСями. Совсем параноя загложет.

+5 % за бесполезный оффтоп - VP