chkrootkit: 認定centos9上chsh被植入後門

一，chkrootkit認定centos stream9上的chsh被感染:

1，命令

[root@blog chkrootkit]# /usr/local/soft/chkrootkit-0.58b/chkrootkit | grep INFECTED
Checking `chsh'... INFECTED

2，這個問題在rocky linux的官方論壇中被提出:

https://forums.rockylinux.org/t/chkrootkit-show-chsh-is-infected-on-rocky-linux-9/10880

二，chsh的作用是什麼？

它是linux的內建命令，用來更換登入系統時使用的shell

一個例子:

lhdop@lhdpc:/data/api$ chsh
密碼： 
正在更改 lhdop 的 shell
請輸入新值，或直接敲Enter鍵以使用預設值
        登入 Shell [/bin/bash]: 

三，用rpm驗證程式是否被感染:

1,檢視chsh的程式檔案路徑

[root@blog chkrootkit]# whereis chsh
chsh: /usr/bin/chsh /usr/share/man/man1/chsh.1.gz

2,得到所屬的rpm包:

[root@blog chkrootkit]# rpm -qf /usr/bin/chsh
util-linux-user-2.37.4-18.el9.x86_64

3, 用rpm的驗證功能，返回沒有檔案被改變

[root@blog chkrootkit]# rpm -V util-linux-user
[root@blog chkrootkit]# rpm -V -a util-linux-user