Rkhunter skanuje ktoś tym narzędziem?

Sprawdziłem kilka dystrybucji zaraz po świeżej instalacji skanując rkhunter i chkrootkit.
Linux Mint 19 Cinnamon instalacja z niewolnymi kodekami.
Chkrootkit - 1 infekcja
sudo rkhynter - c
Possible rootkits: 5

Xubuntu 18.10
Chkrootkit - 1 infekcja
sudo rkhunter -c
Possible rootkits: 1

Arch Linux
Chkrootkit - 0
sudo rkhunter -c
Possible rootkits: 0

Czy chodzi o to, że te skanery rootkitów wykrywają coś w niewolnych kodekach i multimediach dołączonych do Xubuntu i Minta?

Chodzi raczej o różne wersje systemu oraz różne ich konfiguracje, w których są możliwe luki do wykorzystania. Rkhunter powinien stworzyć plik log i możesz go przejrzeć, ewentualnie szybko zajrzeć w czym jest problem.

grep -iE '\[ (found|warning) \]' /var/log/rkhunter.log

No jeżeli wykrył jakiegoś rootkita z nazwy to dlatego pojawił się komunikat. Teraz nie mam tych dystrybucji nie mogę więc podać Ci tego polecenia.

w moim Centos
sudo rkhunter -c
Possible rootkits: 0

Raczej nie, a pięć niemożliwe, ale trzeba sprawdzać logi. To jest informacja o możliwości, a nie pewność że znalazł.

Najprędzej to miałeś otwarty jakiś specyficzny program w czasie skanowania rkhunter-em i w logach znalazłbyś takie info (tu z otwartym specjalnie lxterminalem).

Info: Starting test name 'ipc_shared_mem'
Info: The minimum shared memory segment size to be checked (in bytes): 1048576 (1,0MB)
Checking for suspicious (large) shared memory segments [ None found ]
Process: /usr/bin/lxterminal    PID: 9594    Owner: gunter    Size: 1,0MB (configured size allowed: 1,0MB)

Jeżeli rozpoznajesz proces, to go możesz dodać do “białej listy” w pliku konfiguracji /etc/rkhunter.conf (może być na końcu). Wpis wygląda w przypadku lxterminal, tak.

ALLOWIPCPROC=/usr/bin/lxterminal

I rkhunter nie będzie go sprawdzał, przy drugim skanowaniu. A w logach będzie informacja.

Info: Found process pathname '/usr/bin/lxterminal': it is whitelisted.