У Kate нет границ окна, и таким образом не минимизируйте, максимизируйте, и близкие кнопки

Я подозреваю, что нападение как это работало бы, где «что-то» - модуль ядра, который попытается загрузиться после того, как rootfs смонтирован:

$ sudo mkdir -m 777 /lib/modules/`uname -r`/a
$ cp evil.ko /lib/modules/`uname -r`/a/«something».ko

Обратите внимание также, что Вы могли использовать другие имена, в зависимости от псевдонимов, объявленных в модуле. Я предполагаю, что это не будет загружено, пока depmod не выполняется, который произойдет в следующий раз, когда существует обновление ядра — так mkdir даже недавно не покажет в журнале sudo.

Существует много вещей в / и т.д., которые читают все файлы в каталоге, иногда рекурсивно. Еще хуже, некоторые из тех каталогов не существуют по умолчанию, и единственный способ знать о них состоит в том, чтобы прочитать страницу справочника, init сценарии, и т.д. для программы, которая использует их. Некоторые, еще хуже, являются удержанными от использования вещами назад-совместимости и даже не могут больше документироваться.

править: Мысль о еще нескольких каталогах, них в /usr/local:

• /usr/local/lib/perl/5.14.2 (отличается в зависимости от версии Perl, попробовать perl -V узнать). Создайте a File подкаталог там и помещенный a Find.pm в нем. Теперь каждый раз, когда любой использует File::Find, они будут использовать версию взломщика. Точно так же сделайте то же с Getopt::Long. Системные утилиты часто пишутся в Perl, таким образом, это, вероятно, дает корень. (Попробуйте ack-grep --color -a 'use.+::' /usr/sbin | less -R)
• Я думаю Python, Ruby, и т.д. имею подобные каталоги. Системные утилиты записаны в Python также.
• Ниспровергайте много вещей, из которых кто-то компилирует с подкаталогами /usr/local/include.