chkrootkitは/ sbin / initが感染していると言いますが、それはどういう意味ですか？

Chkrootkitにバグがあるため（これは後のバージョン0.50-3ubuntu1で修正されたため）、これは誤検知である可能性があります。明らかに、chkrootkitは厳密な十分なチェックを実行していません。

参照： https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

さらに、chkrootkitに似たrkhunterを試すこともできます。

さらなる情報：幸いなことに、file `which chkrootkit`を実行すると、chkrootkitが単なるシェルスクリプトであり、直接検査できることがわかります。

Searching for Suckit in the file /usr/sbin/chkrootkit we find:
   ### Suckit
   if [ -f ${ROOTDIR}sbin/init ]; then
      if [ "${QUIET}" != "t" ];then printn "Searching for Suckit rootkit... "; fi
      if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  || \
              cat ${ROOTDIR}/proc/1/maps | ${egrep} "init." ) >/dev/null 2>&1
        then
        echo "Warning: ${ROOTDIR}sbin/init INFECTED"
      else
         if [ -d ${ROOTDIR}/dev/.golf ]; then
            echo "Warning: Suspect directory ${ROOTDIR}dev/.golf"
         else
            if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
         fi
      fi
   fi

キーラインは次のとおりです。

cat ${ROOTDIR}/proc/1/maps | ${egrep} "init."

Ubuntuの最近のバージョン以降、このコマンドを実行すると出力が生成されます（rootまたはSudoとして実行する必要があります）。

# Sudo cat /proc/1/maps | egrep "init."
b78c2000-b78db000 r-xp 00000000 08:02 271571     /sbin/init (deleted)
b78db000-b78dc000 r--p 00019000 08:02 271571     /sbin/init (deleted)
b78dc000-b78dd000 rw-p 0001a000 08:02 271571     /sbin/init (deleted)

ただし、これはルートキットによる感染ではありません。私はrkhunterコードも調べましたが、チェックははるかに厳密です（ルートキットによってインストールされたあらゆる種類の追加ファイルのテスト）。

Chkrootkitファイルの行1003、1004を、/ proc/1/mapsのチェックを実行しないように変更しました（最初にコピーを取得することを忘れないでください）

if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  ) \
             >/dev/null 2>&1