私はDebian LinuxシステムでTiger自動監査プログラムを実行しており、最近次の電子メールを受け取りました。
# Running chkrootkit (/usr/sbin/chkrootkit) to perform further checks...
OLD: --ALERT-- [rootkit005a] Chkrootkit has found a file which seems to be infected because of a rootkit
OLD: --ALERT-- [rootkit009a] A rootkit seems to be installed in the system
OLD: INFECTED (PORTS: 600)
すぐにchkrootkitを手動で実行しましたが、警告や異常な結果は表示されませんでした。これが偽の肯定であるかどうかはどうすればわかりますか?
ベストアンサー1
確認すると、ポート600で何も実行されていないことがわかりました。もっと詳しく見ると、次のようになります。ランダムにポートを選択するrpc.statdによる偽の肯定。