Изменение системных файлов.
/var/spool/cron/crontabs/ Cron создает заказанные процессы в установленное время. Взломщик может добавить строку, создающую, например, .rhosts файл в полночь и уничтожающую его утром в файл заданий root.
/var/spool/cron/crontabs/root: 0 22 * * 6 "echo '+ +' > /.rhosts" 0 6 * * 1 "rm -rf /.rhosts"
/etc/passwd, /etc/shadow - в этих файлах храниться информация о аккаунтах. Взломщик может добавть в них свои записи или изменить аттрибуты этих файлов для внесения в произвольный момент своей информации.
/var/sadm/install/contents - этот файл хранит информацию о проинсталлированных в системе файлах, их размеры, атрибуты и контрольную сумму. Этот файл может быть изменен для сокрытия модификации программ.
