Sprawdziłem kilka dystrybucji zaraz po świeżej instalacji skanując rkhunter i chkrootkit.
Linux Mint 19 Cinnamon instalacja z niewolnymi kodekami.
Chkrootkit - 1 infekcja
sudo rkhynter - c
Possible rootkits: 5
Xubuntu 18.10
Chkrootkit - 1 infekcja
sudo rkhunter -c
Possible rootkits: 1
Arch Linux
Chkrootkit - 0
sudo rkhunter -c
Possible rootkits: 0
Czy chodzi o to, że te skanery rootkitów wykrywają coś w niewolnych kodekach i multimediach dołączonych do Xubuntu i Minta?
Chodzi raczej o różne wersje systemu oraz różne ich konfiguracje, w których są możliwe luki do wykorzystania. Rkhunter powinien stworzyć plik log i możesz go przejrzeć, ewentualnie szybko zajrzeć w czym jest problem.
grep -iE '\[ (found|warning) \]' /var/log/rkhunter.logNo jeżeli wykrył jakiegoś rootkita z nazwy to dlatego pojawił się komunikat. Teraz nie mam tych dystrybucji nie mogę więc podać Ci tego polecenia.
w moim Centos
sudo rkhunter -c
Possible rootkits: 0
Raczej nie, a pięć niemożliwe, ale trzeba sprawdzać logi. To jest informacja o możliwości, a nie pewność że znalazł.
Najprędzej to miałeś otwarty jakiś specyficzny program w czasie skanowania rkhunter-em i w logach znalazłbyś takie info (tu z otwartym specjalnie lxterminalem).
Info: Starting test name 'ipc_shared_mem'
Info: The minimum shared memory segment size to be checked (in bytes): 1048576 (1,0MB)
Checking for suspicious (large) shared memory segments [ None found ]
Process: /usr/bin/lxterminal PID: 9594 Owner: gunter Size: 1,0MB (configured size allowed: 1,0MB)
Jeżeli rozpoznajesz proces, to go możesz dodać do “białej listy” w pliku konfiguracji /etc/rkhunter.conf (może być na końcu). Wpis wygląda w przypadku lxterminal, tak.
ALLOWIPCPROC=/usr/bin/lxterminal
I rkhunter nie będzie go sprawdzał, przy drugim skanowaniu. A w logach będzie informacja.
Info: Found process pathname '/usr/bin/lxterminal': it is whitelisted.