chkrootkit говорит что инфицирован только ifconfig запчасти я от него нашел, так как в хистори взломщика был адрес откуда он его скачал если кому интересно то members.lycos.co.uk/lightxl/zk.tgz попробовал на домашнюю тачку его поставить(Шляпа7.3) из под рута, шляпа очень красиво роняется подменой инита, а основные утилиты улетают в сегмнтейшн фолт, на серваке(Шляпа 7.2) такого не получилось у него видимо