Eu instalei o OSSEC e está dizendo isso
Process '2517' hidden from /proc. Possible kernel level rootkit.
Excessive number of hidden processes. It maybe a false-positive or something really bad is going on.
É o meu servidor live e eu hospedo cerca de 20 sites.
Como posso remover isso? e qual dano máximo ele pode fazer
Você vê esse processo oculto toda vez que executa o OSSEC? Se você vê-lo apenas uma vez, pode ser que tenha havido um atraso entre quando o OSSEC obteve a informação de ps (digamos) e depois checou contra / proc. Enquanto isso, o processo pode ter terminado, levantando o alerta que você acabou de ver.
Provavelmente seria bom instalar e executar o rkhunter . Se isso confirmar que você foi comprometido, sua única ação realista é fazer uma cópia do servidor comprometido para análise posterior, reinstalar do zero e recuperar usando backups válidos conhecidos.
Pode ser que o OSSEC esteja usando o utilitário unhide para verificar processos ocultos. Essa ferramenta às vezes gera falsos positivos.
Você pode verificar a si mesmo executando
unhide proc ou unhide-linux26 proc para um sistema de 64 bits.