Dziś grałem w grę przeglądarkową i nagle mi się wyłączyła. Od razu przeskanowałem rkhunter i wykrył dwa rootkity. Jeszcze kilka tygodni temu gdy skanowałem, było czysto.
Jeszcze w rkhunter.log te wpisy mnie niepokoją.
Warning: Checking for possible rootkit files and directories [ Warning ]
[15:22:28] Found file '/lib/libkeyutils.so.1.9'. Possible rootkit: Sniffer component
[15:22:29] Found file '/lib64/libkeyutils.so.1.9'. Possible rootkit: Sniffer component
[15:22:29] Found file '/usr/lib/libkeyutils.so.1.9'. Possible rootkit: Sniffer component
[15:22:29] Found file '/usr/lib64/libkeyutils.so.1.9'. Possible rootkit: Sniffer component
Warning: The following processes are using suspicious files:
[15:23:02] Command: chromium
[15:23:02] UID: 1000 PID: 8119
[15:23:02] Pathname: /usr/lib/libkeyutils.so.1.9
[15:23:02] Possible Rootkit: Spam tool component
[15:23:02] Command: chromium
Tutaj opisali że jak jakiś rootkit atakuje Linux to zawsze atakuje te pliki *libkeyutils.
https://srvfail.com/check-clean-ebury-ssh-rootkit/
https://bbs.archlinux.org/viewtopic.php?id=248420
Czyli zmiana, przywrócenie pakietu z wersji keysutils 1.6,1-1 do 1.6.-1 spowoduje, że te komunikaty o dwóch wykrytych rootkitach w rkhunter znikną? Obecnie przeinstalowałem pakiet keysutils pobierając nowy i czyszcząc pacman -Scc.