chkrootkit Phantom

chkrootkit (Check Rootkit), das unter Debian (ab Version 3.1) direkt via APT installiert werden und das System auf Rootkits überprüfen soll, neigt leider dazu, ab und an einen Fehlalarm zu erzeugen.

Diese Fehlmeldungen können bei Netzwerkinterfaces, die im Promiscous-Modus laufen oder auch bei einem Kernel mit NPTL-Patch entstehen. In all diesen Fällen wird eine Infektion mit einem „LKM-Trojaner“ gemeldet.

You have 1 process hidden for readdir command
You have 1 process hidden for ps command
Warning: Possible LKM Trojan installed

Ok, soweit bekannt, neu ist mir allerdings, das die Fehlalarme auch auf einer VPS entstehen können, z.B. durch Monitor-Apps, die die VPS im Auge behalten. Nun ja, man lernt nie aus … sein System sollte man nach so einer Meldung auf jeden Fall etwas genauer unter die Lupe nehmen!