Chkrootkit 關於受感染埠 600 的警告

我在我的 Debian Linux 系統上執行 Tiger Automatic Auditor，最近收到以下電子郵件：

# Running chkrootkit (/usr/sbin/chkrootkit) to perform further checks...
OLD: --ALERT-- [rootkit005a] Chkrootkit has found a file which seems to be infected because of a rootkit
OLD: --ALERT-- [rootkit009a] A rootkit seems to be installed in the system
OLD: INFECTED (PORTS: 600)

我立即手動執行 chkrootkit，並沒有看到任何警告或異常結果。我如何判斷這是否是誤報？

我檢查了一下，後來在 600 埠上沒有執行任何東西。由於為 rpc.statd 隨機選擇的埠，因此聽起來像是誤報。

我要做的第一件事是查看埠 600 上執行的內容。

netstat --all --numeric-ports --program |grep 600

假設有什麼問題，Google看看是否有其他人報告了誤報或軟體有任何問題。如果沒有，請開始檢查您的其他日誌以查看是否有任何入侵證據。

引用自：https://unix.stackexchange.com/questions/19868