A rhkunter egy vicc. A semminél lehet hogy jobb, de mindent amit kiír, nagyon erős fenntartással kell kezelni...
pl. berhelt netstatot jelez, ha egy adott port nyitva volt scannelés alatt, aztán a scannelés végén már lezárult a kapcsolat így netstatban természetesen nem látszott ("el volt rejtve" - a frászt); minden IRC klienst wormnek jelez, mert a 6667-es portra csatlakozik; stb
Tapasztalatlan rendszergazdák ijesztgetésén túl semmi hasznát nem láttam. Ha a gyanús tevékenységeket, fileokat akarod figyelni a rendszeren, az OSSEC sokkal jobb választás. Azon kívül hogy realtime, még automatikusan küld log részletet is...