この前も紹介したサイトを参照しながら、chkrootkit をインストールして動作確認する。
≫rootkit検知ツール導入(chkrootkit) - Fedoraで自宅サーバー構築
そこにはこう書いてある。

[root@fedora ~]# chkrootkit|grep INFECTED　←　chkrootkit実行
上記chkrootkit実行結果として"INFECTED"という行が表示されなければ問題なし

そしてこちらでの実行結果は。。。

[root@host ~]# chkrootkit|grep INFECTED
Checking `bindshell'... INFECTED (PORTS:  600)

ぐぐってみると、NFS が影響して誤作動する可能性があるとか書いてある。さっきインストールを終えて再起動したばかりなのに NFS って動いてたっけ？

[root@host ~]# chkconfig --list nfs
nfs             0:off   1:off   2:off   3:off   4:off   5:off   6:off

うーむ。。。
とりあえず 600番ポートを使ってる人がいるかどうか調べてみる。

[root@host ~]# sudo lsof -i -P | grep 600
rpcbind   6361      rpc    7u  IPv4  63509       UDP *:600
[root@host ~]# netstat -anp | grep 600
udp        0      0 0.0.0.0:600                 0.0.0.0:*                               6361/rpcbind

rpcbind が 600番ポートを使ってるので、rpcbind を止めてみる。

[root@host ~]# /etc/rc.d/init.d/rpcbind stop
rpcbind を停止中:                                          [  OK  ]

念のため、chkrootkit を動かしてみる。

[root@host ~]# chkrootkit|grep INFECTED

INFECTED が出なくなった。600番ポートを使ってる人がいるかどうか確認してみる。

[root@host ~]# netstat -anp | grep 600

rpcbind を起動して、もう一度 chkrootkit を動かしてみる。

[root@host ~]# /etc/rc.d/init.d/rpcbind start
rpcbind を起動中:                                          [  OK  ]
[root@host ~]# netstat -anp | grep 600
[root@host ~]# sudo lsof -i -P | grep 600
[root@host ~]# chkrootkit|grep INFECTED

chkrootkit って、過敏に反応するポートがあるっぽい。もし INFECTED が出るようになったら、そのポートを使ってるプロセスを見つけて再起動してやればいいんじゃないかと。