Stamattina, come ogni lunedì, ho ricevuto via email i report relativi alla scansione rootkit eseguita sui miei server mediante chkrookit.
Una di queste email riportava la seguente entry:
Checking `lkm'... You have 2 process hidden for readdir command
You have 2 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
Avranno bucato la macchina oppure si tratta di un falso positivo?
Mi accingo dunque ad effettuare ulteriori controlli, tra cui una nuova scansione mediante un altro tool per l'individuazione dei rootkit, ovvero rkhunter:
nightfly@nightbox:/var/log$ sudo rkhunter -c
Inutile dire che tale scansione ha avuto esito negativo. Indi per cui sono quasi certo che si tratta di un falso positivo. La conferma arriva da una nuova scansione eseguita con chkrootkit, che non ha segnalato nessuna anomalia.
Sono sicuro che quel falso positivo presente nel report fosse dovuto ad un restart di qualche processo avvenuto proprio durante la scansione schedulata.
Morale della favola: prima di pensare al peggio assicuratevi che la macchina sia stata effettivamente bucata.
A presto.