今天按计划检查了一下新 VPS 上是否有什么异常，clamscan 没发现什么奇怪的东西，rkhunter 也是一样，但是轮到 chkrootkit ，这玩意居然报 /sbin/init 被 SuckIt Rootkit 感染了。莫非长这么大终于遇到了传说中的 Rootkit ？于是我毫不犹豫地开始查资料。果不其然，看上去很多人在更新系统之后也遇到了这种问题，但是没有人给出一个确定的答案。考虑到我之前有做过 dist-upgrade 并且弄完之后没有重启 VPS ，所以感觉这种可能性较大。

最后，在 Gentoo 的论坛里面有人给出了 chkrootkit 误报的具体原理以及 SuckIt rootkit 的手工检测方法，参见：http://forums.gentoo.org/viewtopic-t-326062-highlight-suckit.html

最后，在 VPS 上遇到 rootkit 是不是就只能认灾重做系统了呢？不管怎么说，预防为先，更改 SSH 端口、禁用 root 登陆、设置一个鬼都看不懂记不得的 root 密码是很必要的。