Uma das coisas mais chatas de rodar o Chkrookit é aquela saída enorme onde temos que filtrar tudo que é necessário no olho
.
Well, para pegar as informações mais rapidamente, um dos modos é usar o famoso grep e filtrar somente o necessário.
# ./chkrootkit | grep -v 'nothing found' | grep -v 'not infected' | grep -v 'not tested' | grep -v 'not found'
Literalmente, ele lhe dará a saída somente com o que for importante para ver se o servidor contém um rookit ou não.
Um exemplo de saída, que eu peguei inclusive no site onde encontrei o comando acima, é:
ROOTDIR is `/'
Checking `netstat'… INFECTED
Checking `ps'… INFECTED
Checking `aliens'…
/dev/ptyxy/.proc /dev/ptyxy/.addr
/etc/ld.so.hash
Searching for Ambient's rootkit (ark) default files and dirs…
Possible Ambient's rootkit (ark) installed
Searching for suspicious files and dirs, it may take a while…
/usr/lib/perl5/vendor_perl/5.8.5/i386-linux-thread-multi/auto/mod_perl/.packlist /usr/lib/perl5/5.8.5/i386-linux-thread-multi/.packlist /usr/lib/.ark? /lib/security/.config
/lib/security/.config
Searching for ShKit rootkit default files and dirs… Possible ShKit rootkit installed
Mais mão na roda impossível né ?