오탐(false positive)일 가능성이 높습니다.

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

몇 가지 의심스러운 점이 없지 않아 있지만 일단 오탐일 가능성이 높습니다.
이는 chkrootkit 프로그램에서 hidden process를 탐지하는 원리를 이해하시면 왜 오탐이 있을 수 있는지 알게 되는데, 간단히 말씀드리면 ps 에서 보이는 pid 정보와 /proc/pid 정보를 비교하여 다른점이 있으면 hidden process라고 판단하기 때문입니다.
따라서 busy한 시스템에서는 이러한 경우가 많이 보이므로 ./chkproc -v를 여러번 실행해 보아 동일한 정보가 보이는지 확인해 보시면 됩니다.
만약 동일한 정보가 보인다면 백도어일 가능성이 있지만 그렇지 않다면 무시하셔도 됩니다.
(동일한 정보가 보인다면 좀 더 구체적인 결과를 알려주십시오.)

또한 chkrootkit 뿐만 아니라 다른 보안 프로그램도 많이 있으므로 본서의 9장. 보안프로그램 활용에서 소개하는 다른 보안프로그램을 함께 활용해 보시는 것도 좋습니다.

감사합니다.