今天按计划检查了一下新 VPS 上是否有什么异常,clamscan 没发现什么奇怪的东西,rkhunter 也是一样,但是轮到 chkrootkit ,这玩意居然报 /sbin/init 被 SuckIt Rootkit 感染了。莫非长这么大终于遇到了传说中的 Rootkit ?于是我毫不犹豫地开始查资料。果不其然,看上去很多人在更新系统之后也遇到了这种问题,但是没有人给出一个确定的答案。考虑到我之前有做过 dist-upgrade 并且弄完之后没有重启 VPS ,所以感觉这种可能性较大。
最后,在 Gentoo 的论坛里面有人给出了 chkrootkit 误报的具体原理以及 SuckIt rootkit 的手工检测方法,参见:http://forums.gentoo.org/viewtopic-t-326062-highlight-suckit.html
最后,在 VPS 上遇到 rootkit 是不是就只能认灾重做系统了呢?不管怎么说,预防为先,更改 SSH 端口、禁用 root 登陆、设置一个鬼都看不懂记不得的 root 密码是很必要的。