Возможно боян, но все-таки. Практически обжил squeeze, репы родные.
Запилил rkhunter, обновил и сразу же checkall.
Все бинарники чистые, но:
Checking for possible rootkit strings [ Warning ]
Checking for hidden files and directories [ Warning ]
[01:30:44] Possible rootkits: 2
[01:30:44] Rootkit names : Xzibit Rootkit, Xzibit Rootkit
Копаю лог.
Эти строки отнесём к «false positive», еще не настроил их игнор.
[01:30:37] Checking for hidden files and directories [ Warning ]
[01:30:37] Warning: Hidden directory found: /dev/.udev
[01:30:37] Warning: Hidden directory found: /dev/.initramfs
Это уже интересней, что он нашел в скриптах /etc/init.d/hdparm и /etc/init.d/.depend.boot, которые не бинарники?
[01:30:01] Checking for string 'hdparm' [ Warning ]
[01:30:01] Warning: Checking for possible rootkit strings [ Warning ]
[01:30:02] Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit
[01:30:02] Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit
Собственно вопрос, отнести hdparm к «false positive», chkrootkit ничего не нашел.
ЗЫ. Да, да, я знаю про самописные скрипты сверки md5 сумм, просто пока чистая система решил пройтись стандартными средствами.
