chkrootkit: 认定centos9上chsh被植入后门

一，chkrootkit认定centos stream9上的chsh被感染:

1，命令

[root@blog chkrootkit]# /usr/local/soft/chkrootkit-0.58b/chkrootkit | grep INFECTED
Checking `chsh'... INFECTED

2，这个问题在rocky linux的官方论坛中被提出:

https://forums.rockylinux.org/t/chkrootkit-show-chsh-is-infected-on-rocky-linux-9/10880

二，chsh的作用是什么？

它是linux的内置命令，用来更换登录系统时使用的shell

一个例子:

lhdop@lhdpc:/data/api$ chsh
密码： 
正在更改 lhdop 的 shell
请输入新值，或直接敲回车键以使用默认值
        登录 Shell [/bin/bash]: 

三，用rpm验证程序是否被感染:

1,查看chsh的程序文件路径

[root@blog chkrootkit]# whereis chsh
chsh: /usr/bin/chsh /usr/share/man/man1/chsh.1.gz

2,得到所属的rpm包:

[root@blog chkrootkit]# rpm -qf /usr/bin/chsh
util-linux-user-2.37.4-18.el9.x86_64

3, 用rpm的验证功能，返回没有文件被改变

[root@blog chkrootkit]# rpm -V util-linux-user
[root@blog chkrootkit]# rpm -V -a util-linux-user