Tra le altre misure, abbiamo rkhunter in corso su un paio di server.
rkhunter su entrambi i server ha segnalato un "file sospetto". In particolare:
Warning: Suspicious file types found in /dev:
/dev/shm/R1Soft-SHM-ZocPNFWuCcEl2rrN: data
Questo corrisponde ad un normale aggiornamento del pacchetto a R1Soft appena prima che apparisse questo avviso. Tuttavia, rpm -qf indica che questo file non appartiene a nessun pacchetto.
Sono ragionevolmente soddisfatto che si tratti di un falso positivo, dato che i tempi corrispondono a un aggiornamento di un pacchetto di un software mainstream, e lo hanno fatto in modo identico su due server non connessi. Il dubbio che ho è che sono passati alcuni giorni e non vedo nessun altro che abbia riportato lo stesso problema.
La mia domanda principale è:
Che tipo di passaggi possiamo adottare per verificare definitivamente che si tratta di un falso positivo?
Se possiamo farlo, sarei felice di scriverlo in bianco su rkhunter.