Pedro Jose Martin Cano escreveu:
¿Debería volver a instalar mi debian como sugiere mi compañero? ¿Como puedo saber si es un falso positivo o no? El ordenador anda correctamente Gracias
Bueno, realmente instalar todo otra vez no es la mejor opción (salvo que estés 100% seguro de que han entrado en tu máquina). Esa PC está detrás de algún firewall/gateway? Si es así podés dejar tcpdump corriendo para ver las conexiones que hay hacia internet. Lo que si hay que hacer es sacar la PC de la red.
Sobre los rootkit te digo que sí a veces hay falso-positivos (me acuerdo de uno que era generado por tener snort corriendo), pero no sabría decirte una manera efectiva de comprobar que ese es tu caso. Fijate en los archivos/carpetas que fueron declarados sospechosos por los rootkits. Si es el caso borralos y fijate si aparecen otra vez.
Así que suerte con todo eso. Saludos. -- Miguel Da Silva Administrador de Red Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy