На OpenNews нашел очень интересное чтиво о том, как обследовалсь взломанная Linux-система и выяснялось, что сломал взломщик, какие действия выполнял и какие ошибки допустил. Раньше читал подобные истории на сайте журнала Хакер, но тут, во-первых, глазами админа, а, во-вторых, почему-то много более интереснее, чем в Хакере :)

Статья на английском: http://blog.gnist.org/article.php?story=HollidayCracking