问chkrootkit扫描器检测到可能的KLM特洛伊木马

EN

我知道已经有了一个被接受的答案，但我想展示一下如何调试这个问题的另一种方法，这可能会对将来的其他人有所帮助。这使我明白这确实是一种假阳性。我还在Ubuntu20.04上偶然发现了这样的输出，使用的是chkrootkit v0.53

Checking `lkm'...                                           You have    12 process hidden for readdir command
You have    12 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

请注意，每次运行12时，它的数量都会发生变化。因此，为了进一步调试这一点，我运行了chkproc -v (通常在/usr/lib/chkrootkit/中)，它提供如下输出：

PID 277881(/proc/277881): not in readdir output
PID 277881: not in ps output
You have     1 process hidden for readdir command
You have     1 process hidden for ps command

注意，每次运行它(不同的PID，不同的量)时，这种情况也会发生变化。因此，似乎有一些(不明身份的)短命进程在干扰chkproc，这是一个已知的假阳性来源，参见http://www.chkrootkit.org/faq/。为了做出最后的判断，我需要识别这些短暂的进程，为此，我只能重新使用atop，它可以跟踪随着时间推移的流程历史，这样它就可以告诉您在一段时间内哪些进程是活动的。

因此，要调试所有这些，请执行以下操作：

1. 在一个shell中运行chkproc -v，让atop在另一个shell中运行。
2. 当chkproc返回PID时，等待atop更新它的输出并暂停它(通常是z键)。
3. 查看atop输出的下半部分，您将在其中找到进程列表，从当前活动的进程开始，以在过去的atop记录期间退出的进程结束。这类过程将在最右边的列中用<>标记.
4. 尝试从步骤1中找到您刚才在chkproc -v中看到的PID，如果它不在那里，那么您可能过早地暂停了atop，所以在本例中再试一次。如果可以找到PID，那么请查看它的CMD和RUID列条目。这应该给你一个很好的提示，这个过程是什么，并希望给你一个想法，如果这是一个错误的积极与否。

最后，我可以提到，我发现了许多这样短暂的进程(例如，大量的sleep)，结果是在我的系统上运行web应用程序的Docker容器即将到来。为了验证我暂时停止了所有的Docker容器，所有这些短暂的过程都消失了，chkproc和chkrootkit也因为没有发现任何东西而感到高兴。

因此，总结一下:在码头集装箱中的短命过程可能导致假阳性.但是，确保首先识别它们，而不是立即忽略它们。