Met dit programma kun je lokaal op de server controleren of er tekenen zijn van een rootkit.
Installeren
apt install chkrootkit
Starten
chkrootkit
De output komt gelijk op het scherm en niet in een log file.
Controle
chkrootkit | grep INFECTED
Bovenstaand commando laat alleen de INFECTED regels zien. Dus dan zie je gelijk wat er mis is.

Bovenstaand laat zien dat er iets gehijackt lijkt. Poort 465 is de smtps poort. Dit is een false-positive. Postfix (de mailserver) heeft deze in gebruik.
Zie ook deze Handige Linux Security Tools.