Suspeita de rootkit no rkhunter

Sob suspeitas de estar contaminado, instalei e rodei o rkhunter. ao rodar me apareceu algumas suspeitas, algumas são simples de resolver por ser falso positivo. mas oque mais me assustou é o “/etc/.#gshadowiw4LRp” . não achei praticamente nada sobre esse arquivo. sem falar no nome aterrorizante dessa belezinha.

sudo rkhunter -c --rwo                                                                                                                    
[sudo] senha para noen: 
Warning: The command '/usr/bin/egrep' has been replaced by a script: /usr/bin/egrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/fgrep' has been replaced by a script: /usr/bin/fgrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script, ASCII text executable
Warning: The command '/usr/bin/vendor_perl/GET' has been replaced by a script: /usr/bin/vendor_perl/GET: Perl script text executable
Warning: The SSH configuration option 'PermitRootLogin' has not been set.
         The default value may be 'yes', to allow root access.
Warning: The SSH configuration option 'Protocol' has not been set.
         The default value may be '2,1', to allow the use of protocol version 1.
Warning: Hidden file found: /etc/.#gshadowiw4LRp: ASCII text
Warning: Hidden file found: /etc/.updated: ASCII text
Warning: Hidden file found: /usr/share/man/man5/.k5identity.5.gz: gzip compressed data, max compression, from Unix, truncated
Warning: Hidden file found: /usr/share/man/man5/.k5login.5.gz: gzip compressed data, max compression, from Unix, truncated

1 curtida

Mas qual é o conteúdo deste arquivo?

:vulcan_salute:

Tentei abrir com o sudo e sempre da arquivo não encontrado

Ele é um symlink?

Tenta copiar o arquivo pra dentro de uma das pastas dentro do diretório /home do sistema e tenta abrir o arquivo pra ver o conteúdo. Caso não consiga abrir o arquivo, abre um terminal e digita sudo chattr -i “nome do arquivo sem aspas” e depois tenta abrir novamente o arquivo pra ver o conteúdo.
Uma veez eu consegui abrir um arquivo que não queria abrir depois que eu fiz esse procedimento.

consegui:

root:::root
nobody:!*::
adm:!*::daemon
wheel:!*::noen
utmp:!*::
audio:!*::
disk:!*::
input:!*::
kmem:!*::
kvm:!*::
lp:!*::noen
optical:!*::
render:!*::
sgx:!*::
storage:!*::
tty:!*::
uucp:!*::
video:!*::sddm
users:!*::
sys:!*::bin,noen
mem:!*::
ftp:!*::
mail:!*::
log:!*::
smmsp:!*::
proc:!*::polkitd
games:!*::
lock:!*::
network:!*::noen
floppy:!*::
scanner:!*::
power:!*::noen
systemd-journal:!*::
rfkill:!*::
dbus:!*::
bin:!*::daemon
daemon:!*::bin
http:!*::
systemd-coredump:!*::
systemd-network:!*::
systemd-oom:!*::
systemd-journal-remote:!*::
systemd-resolve:!*::
systemd-timesync:!*::
tss:!*::
uuidd:!*::
dhcpcd:!*::
dnsmasq:!*::
rpc:!*::
rpcuser:!*::
ntp:!*::
avahi:!*::
git:!*::
nm-openconnect:!*::
nm-openvpn:!*::
openvpn:!*::
polkitd:!*::
rtkit:!*::
sddm:!*::
usbmux:!*::
noen:!::
vboxusers:!*::
tor:!*::

não. aqui o arquivo

root:::root
nobody:!*::
adm:!*::daemon
wheel:!*::noen
utmp:!*::
audio:!*::
disk:!*::
input:!*::
kmem:!*::
kvm:!*::
lp:!*::noen
optical:!*::
render:!*::
sgx:!*::
storage:!*::
tty:!*::
uucp:!*::
video:!*::sddm
users:!*::
sys:!*::bin,noen
mem:!*::
ftp:!*::
mail:!*::
log:!*::
smmsp:!*::
proc:!*::polkitd
games:!*::
lock:!*::
network:!*::noen
floppy:!*::
scanner:!*::
power:!*::noen
systemd-journal:!*::
rfkill:!*::
dbus:!*::
bin:!*::daemon
daemon:!*::bin
http:!*::
systemd-coredump:!*::
systemd-network:!*::
systemd-oom:!*::
systemd-journal-remote:!*::
systemd-resolve:!*::
systemd-timesync:!*::
tss:!*::
uuidd:!*::
dhcpcd:!*::
dnsmasq:!*::
rpc:!*::
rpcuser:!*::
ntp:!*::
avahi:!*::
git:!*::
nm-openconnect:!*::
nm-openvpn:!*::
openvpn:!*::
polkitd:!*::
rtkit:!*::
sddm:!*::
usbmux:!*::
noen:!::
vboxusers:!*::
tor:!*::