Ну по перше це переглянути усі логи на предмет якихось підозрілих дій: спроби приконектитись на порт ssh; Спробі запуску якогось файлу і т.д. Потім переглянути за допомогою top чи немає якихось підозрілих процесів, наприклад httpd1. Перевірити права доступу і останній час редагування файлів в каталозі /etc. Ну і пройдіться ось цими утилітами chkrootkit, rkhunter
