是不是"chkrootkit“只是不喜欢.hmac、.packlist和..relocation文件？

Question

我刚刚清理了我的被黑客攻击的CentOS服务器(因为自从versino 5.3之后没有更新)。但是，"chkrootkit“仍然这样说：

Possible t0rn v8 \(or variation\) rootkit installed

/usr/lib/.libfipscheck.so.1.1.0.hmac 
/usr/lib/.libgcrypt.so.11.hmac 
/usr/lib/.libfipscheck.so.1.hmac 
/lib/.libcrypto.so.0.9.8e.hmac 
/lib/.libssl.so.0.9.8e.hmac 
/lib/.libssl.so.6.hmac 
/lib/.libcrypto.so.6.hmac

/usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/Text/Iconv/.packlist 
/usr/lib/perl5/5.8.8/i386-linux-thread-multi/.packlist 
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/HTML-Tree/.packlist 
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/Font/AFM/.packlist 
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/MLDBM/Sync/.packlist 
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/MLDBM/.packlist 
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/FreezeThaw/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/Apache/ASP/.packlist 
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/HTML-Format/.packlist 

/usr/lib/gtk-2.0/immodules/.relocation-tag 
/usr/lib/python2.4/plat-linux2/.relocation-tag 
/usr/lib/python2.4/distutils/.relocation-tag 
/usr/lib/python2.4/config/.relocation-tag 

是不是"chkrootkit“只是不喜欢.hmac、.packlist和..relocation文件？

这些真的还感染吗？

Answer 1

来自www.chkrootkit.org：

问: chkrootkit报告了一些可疑的文件和脏文件：.packlist、.cvsignore等，这些都是假阳性，你不能忽视这些吗？

答:忽略一些文件和脏文件可能会损害chkrootkit的准确性。攻击者可能会使用这种方法，因为他知道chkrootkit会忽略某些文件和目录。“

Answer 2

我根本不相信“清理”一个受损的服务器，并认为“从轨道上的核武器”选项是唯一的补救办法。

无论如何，判断这些文件是否合法的唯一方法是将这些文件的校验和与干净安装上已知的好文件的校验和进行比较，但我认为，这些库文件名是由.在普通ls中隐藏的，这足以让人担心。