El otro día me llegaba un correo de alerta del Ossec con este mensaje …
Received From: xxx->rootcheck
Rule: 510 fired (level 7) -> «Host-based anomaly detection event (rootcheck).»
Portion of the log(s):Trojaned version of file ‘/proc/1/maps’ detected. Signature used: ‘init.’ (Suckit rootkit).
Después del susto y de cagarme en todo por no tener un ordenador a mano para mirarlo. Resulta que es un falso positivo. No hay mucha información sobre el Suckit Rootkit. La pagina de los creadores no existe y la poca información que hay es mas bien antigua (del 2005).
Pasandole el chkrootkit … dice que esta infectado …
Searching for Suckit rootkit… Warning: /sbin/init INFECTED
El Rootkit hunter no detecta nada. Parece que es un falso positivo del chkrootkit.
Este es el articulo original (del 2001)