無法理解 chkrootkit 的結果

我無法理解chkrootkit命令的輸出：

$ chkrootkit -q -r /
/usr/lib/.libssl.so.10.hmac
/usr/lib/.libfipscheck.so.1.hmac
/usr/lib/firefox-3.6/.autoreg
/usr/lib/.libfipscheck.so.1.1.0.hmac
/usr/lib/.libssl.so.1.0.0d.hmac
/lib/.libcrypto.so.1.0.0d.hmac
/lib/.libgcrypt.so.11.hmac
/lib/.libcrypto.so.10.hmac
/proc/2980/fd/129: No such file or directory

這是什麼意思？

這些.*.hmac文件是一些加密軟體的簽名文件，由fipscheck創建。他們的存在一點也不可疑。它們似乎是Fedora 上chkrootkit的常見 誤報 。

至於firefox-3.6/.autoreg文件，它是 Firefox 的正常部分，你不是 第 一個看到 chkrootkit 抱怨它的人。

不存在/proc/2980/fd/129可能是因為程序 2980 在 chkrootkit 到達文件時關閉了文件（甚至退出）。

沒有-q.

這些很可能是誤報。另一方面，知道 chkrootkit 的攻擊者可能會故意將她的惡意軟體植入這些已知的常見誤報中。另一方面，從您正在檢查的系統中執行 chkrootkit 幾乎沒有用處：編寫良好的惡意軟體會侵入核心並安排讓 chkrootkit 和其他入侵或惡意軟體檢測工具看起來一切正常。

引用自：https://unix.stackexchange.com/questions/11461