chkrootkit 점검한 결과 rootkit이 발견

[root@www chkrootkit-0.46a]# ./chkrootkit -q > findchkroot.txt
[root@www chkrootkit-0.46a]# more findchkroot.txt

/usr/lib/perl5/5.8.5/i386-linux-thread-multi/.packlist /usr/lib/perl5/vendor_perl/5.8.5/i386-linux-thread-multi/auto/mod_perl/.packlist /usr/l
ib/perl5/vendor_perl/5.8.5/i386-linux-thread-multi/auto/Gaim/.packlist

 The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! root         2407 tty5   /sbin/mingetty tty5

[root@www chkrootkit-0.46a]#

chkrootkit으로 점검한 결과가 위처럼 나타나내요.

위의 결과로 봐서는

 /usr/lib/perl5/vendor_perl/5.8.5/i386-linux-thread-multi/auto/mod_perl/.packlist <== 요거가 rootkit으로 봐야 될것 같은데요

정말로 rootkit으로 봐야 되는건가요 ?

100% rootkit으로 단정 지을 수는 없습니다. 파일의 내용을 보고 파일에(.packlist) 어떤 파일들의 이름이 리스팅 되어 있다면 그 파일들을 하나하나 조사를 해봐야 하구요.  /usr/lib/~~/.packlist 라는 파일은 깨끗한(해킹을 당하지 않은)시스템에도 있는 파일이니깐요.  

그리고 아래의 결과를 보시면 tty5번을 사용하는 root 권한의 프로세스가 /var/run/utmp에 나타나지 않았다는 결과가 나옵니다. 즉, 공격자가 이미 root권한을 획득하고 자신을 숨기고 있다는 얘깁니다. utmp는 아시다시피 현재 시스템 사용자들에 대한 스냅샷을 가지고 있거든요. chkrootkit이 탐지한 현재 시스템 사용자리스트와 utmp에 있는 사용자리스트를 비교를 해보니 보이지 않는 사용자가 존재한다는 얘기겠죠.
rkhunter(rootkit hunter)를 사용하여 다시 한 번 검사를 해보시구요.

rootkit이 정확하다면 어떻게 조치를 해야 되나요 ?
LKM(커널모듈루트킷)인 경우엔 좀 더 심각하지만 일반적인 애플리케이션 레벨의 루트킷이라면 현재 해킹당한 OS와 동일한 버전의 시스템에서 ls, ps, find, netstat, ifconfig 등의 중요 바이너리들과 lsof 툴을 가져와서 하나하나씩 찾아서 지워가시면 됩니다. 
현재 시스템에서 ls, ps, netstat, find 등의 명령을 수행하는 것은 아무 의미가 없습니다.