Postado originalmente por xstefanox
Calma, minha gente. Vamos destrinchar um pouco o assunto.
Os pacotes .deb dos repositórios oficiais da Debian são extensivamente testados durante todo o processo de inclusão de um pacote, independente do release (Stable, Testing ou Unstable). Não entendam que pelo desenvolvimento de uma distribuição ser aberto à comunidade, isso quer dizer que ele é bagunçado. Sempre tem alguém organizando e olhando os conteúdos dos pacotes oficiais da Debian.
Se a conjectura de que o pacote que seu amigo puxou pelo apt-get foi realmente o causador de todo o mal for verídica, eu boto a minha mão no fogo que não foi nos repositórios oficiais que ele encontrou tal pacote. O que me leva a acreditar nisso é o fato dele ter pacotes da Unstable no servidor. Onde já se viu um pacote da Unstable em um servidor de produção?
Levando o meu raciocínio mais adiante: Para seu amigo utilizar pacotes da Unstable no servidor, ele logo teria que editar o /etc/sources.list e ter adicionado o repositório lá. O que impede que ele tenha adicionado um repositório não-oficial?
Não estou tentando acusar ninguém, mas eu nunca ouvi falar de uma invasão por pacotes oficiais da Debian. Nenhum sistema é 100% seguro, mas também não vai ser inseguro a ponto disto, sem mencionar que a Debian possui um nome a zelar.
Um abraço, saúde e cuca-fresca.