chkrootkit で隠しプロセス・・・

chkrootkit で、隠しプロセスがあるという警告が出ました。

You have     1 process hidden for readdir command

You have     1 process hidden for ps command

chkproc: Warning: Possible LKM Trojan installed

えー、ということで、chkproc コマンドを手動で叩いてみると・・・

# /usr/lib/chkrootkit/chkproc -v -v -p 3
CWD  2886: /var/cache/bind
EXE  2886: /usr/sbin/named
CWD  2887: /var/cache/bind
EXE  2887: /usr/sbin/named
CWD  2888: /var/cache/bind
EXE  2888: /usr/sbin/named
CWD  3355: /var/lib/mysql
EXE  3355: /usr/sbin/mysqld
CWD  3356: /var/lib/mysql
EXE  3356: /usr/sbin/mysqld
CWD  3358: /var/lib/mysql
EXE  3358: /usr/sbin/mysqld
CWD  3360: /var/lib/mysql
EXE  3360: /usr/sbin/mysqld
CWD  3402: /var/lib/mysql
EXE  3402: /usr/sbin/mysqld
CWD  3404: /var/lib/mysql
EXE  3404: /usr/sbin/mysqld
CWD  3406: /var/lib/mysql
EXE  3406: /usr/sbin/mysqld
CWD  3409: /var/lib/mysql
EXE  3409: /usr/sbin/mysqld
CWD  3411: /var/lib/mysql
EXE  3411: /usr/sbin/mysqld
CWD  3599: /var/lib/mysql
EXE  3599: /usr/sbin/mysqld
CWD  3850: /var/lib/mysql
EXE  3850: /usr/sbin/mysqld

あらら・・・

ps auxや、ps -ef ではこれらのPIDはみつかりません。

でも、cd /proc/3850 とかすると、ちゃんと存在しているのですよね。
何か納得いかなくて、スレッドを表示してみると・・・

# ps -eLF | grep 3850
mysql     3286  3125  3850  0   12 34522 21312   0 Apr09 ?        00:00:03 /usr/sbin/my

おぉ、どうやらchkrootkit のバグのようです。

ドキっとしたかたは、試してみましょう。