> Вот пока он будет пытаться, его и засекут.Или не засекут, в зависимости от мастерства хакера и админа.
> Если за машиной будут следить только полтора землекопа, и те исключительно
> вручную (обычно это означает раз в неделю залогиниться и глянуть top),
> то понятно, можно много чего пропустить.
Ну, можно посадить десяток китайцев самолично пакеты раскидывать, но их кормить надо и скорость в PPS'ах так себе :)
> И я молчу про то, что тот же syslog надо по-хорошему на
> другую машину отправлять. Которую... ну, пусть пробуют, ломают, если у неё
> кроме приёмника логов и SSH ничего нет. :)
Ага, только мутная активность в ssh может означать и какой-то race condition в этом самом ssh. Тогда вполне себе поломают.