Как только у вас появится злоумышленник с root-доступом на машине все ставки отключены. Вы не можете доверять отметкам времени.
См. Также ответы на « Как мне поступить с взломанным сервером » на форуме ServerFault (не о временных метках, а о том, как действовать при взломе).
Когда хакер получил root-доступ к системе, он также может изменить временную метку любого файла по своему желанию. Поэтому любой анализ временных меток, выполненный на одном сервере, следует рассматривать как некорректный.
Вы можете проверить временные метки двоичных файлов и время последнего обновления. Даты в каталогах могут дать некоторое представление о том, когда каталоги были изменены.
Но для этого нужны ошибки или нападение со стороны очень неопытного человека.
Как уже было сказано, отметка времени может быть изменена, но обычно ядро также можно «пропатчить», так что вы не можете доверять никаким данным (также контрольным суммам файлов) с этого компьютера. Отсоедините жесткий диск и прочитайте с защищенной машины. Лучше: смените жесткий диск и снова установите программное обеспечение (возможно, защищенное) и данные из резервной копии.