Entre otras medidas, tenemos rkhunter funcionando en un par de servidores.
rkhunter en ambos servidores informó un "archivo sospechoso". Específicamente:
Warning: Suspicious file types found in /dev:
/dev/shm/R1Soft-SHM-ZocPNFWuCcEl2rrN: data
Esto corresponde a una actualización del paquete regular para R1Soft desde justo antes de que apareciera esta alerta. Sin embargo, rpm -qf indica que este archivo no es propiedad de ningún paquete.
Estoy razonablemente satisfecho de que esto sea un falso positivo, dado que el tiempo se corresponde con una actualización del paquete de una parte del software principal, y lo hizo de manera idéntica en dos servidores no conectados. La pequeña duda que tengo es que realmente han pasado unos días y no veo a nadie más que informe sobre el mismo problema.
Mi pregunta principal es:
¿Qué tipo de pasos podemos tomar para verificar definitivamente que se trata de un falso positivo?
Si podemos hacer eso, con gusto lo pondré en una lista blanca en rkhunter.