Hallo Andreas,
Das kommt auf die Art des Rootkits drauf an. Es gibt einfache
rootkits, die ersetzt einfach dis bisherigen Programme ps, lsmod,
netstat, etc.
Ich werde es machen, ersetzen von Knoppix.
Es gibt aber auch rootkits (alle neueren?), die z.B. direkt als Modul
in den Kernel geladen werden und auch mit einem richtigen lsmod nicht
mehr entdeckt werden können. Ganz schlecht sieht es vermutlich aus,
wenn das Rootkit nur im Speicher vorhanden ist.
Die beunruhigt mich auch am meisten. Inzwischen habe ich die originale
Datei wiederhergestellt.
Findet chkrootkit denn irgendwas?
Nichts, auch rkhunter nicht. Allerdings noch nicht mit einem gebooteten
Knoppix getestet, nur im evt. infizierten System.