Com base nos detalhes da sua pergunta, seu sistema está limpo .
-
Você está fazendo backups. OK.
-
clamav
aparece limpo. Tudo bem também. -
Com base na sua saída de
chkrootkit
, seu sistema está limpo. Esses arquivos listados como suspeitos são benignos. A detecção de Ebury / Windigo é um falso positivo: link -
Alguns dos discos ao vivo que você tentou não funcionaram. Tudo bem.
-
Já pode haver um atualizador sendo executado como um daemon.
-
Você está tentando executar o arquivo de log. Visualize-o em um pager, como
less /var/log/rkhunter.log
.
Do ponto de vista lógico, chkrootkit
e rkhunter
não são muito úteis se forem usados para varrer o mesmo sistema em que são executados, pois não são verificadores em tempo real, portanto, qualquer rootkit decentemente empacotado teria sabatado os scanners antes eles são executados. Além disso, ambos têm heurísticas que resultam em muitos falsos positivos.
Os arquivos salvos que não aparecem raramente são uma indicação de comprometimento do sistema. Sem saber o conteúdo do arquivo .txt "suspeito" que você mencionou, não pode haver nenhuma conclusão tirada disso. DEADJOE é um arquivo de backup criado pelo editor de texto JOE. O firewall no Linux Mint está desativado por padrão.
Editar: Adicionadas informações no arquivo DEADJOE.