Se vnstat
é o processo colocando a interface no modo promíscuo, verifique seus arquivos de log e veja se ele está registrado (depende do registro de verbosidade, é claro). Se não houver motivo para monitorar o tráfego, basta desativá-lo e ver como funciona.
Eu suspeito que o modo promíscuo esteja ativado enquanto rkhunter
estiver em execução, para que rkhunter
o detecte.
O que é muito estranho, é isso:
Nov 8 14:51:31 hallinta kernel: [3301285.098047] klogd1 uses obsolete (PF_INET,SOCK_PACKET)
Nov 8 14:51:31 hallinta kernel: [3301285.099528] device eth0 entered promiscuous mode
AFAIK não existe tal coisa como klogd1
(existe um klogd
claro), e não deveria haver um. Reserve um tempo para verificar se existe um binário sob esse nome e se há um processo klogd1
(se sim, encontre o que está fazendo). Se vnstat
não estiver fazendo isso, há uma grande chance de que sua máquina tenha sido comprometida.