Рассмотрим, как с помощью консольного сканера Сhkrootkit просканировать дистрибутив Linux на наличие rootkit.
Установка Сhkrootkit - sudo apt install chkrootkit
Запуск сканирования - sudo chkrootkit
Сообщения, которые могут быть выданы при сканировании:
not infected — проверка не обнаружила ничего подозрительного
INFECTED — программа с большой вероятностью относится к руткиту
not tested — проверка не была произведена (для этой ОС отсутствует возможность проверки, отсутствие модуля проверки, заданы параметры командной строки, отключающие эту проверку)
not found — программа не найдена и поэтому не проверялась
Vulnerable but disabled — вероятность того, что приложение является вредоносным велика, но в момент проверки оно было неактивным.

Известные ложные срабатывания
Иногда бывает ошибка Chkrootkit - это ложные срабатывания отчетов: Linux / Ebury - процесс Wendigo. Эта проблема известна давно с появлением тега -g в оболочке. Есть несколько ручных тестов, которые вы можете запустить, чтобы проверить ложные срабатывания.
Сначала запустите с правами root следующее:
sudo find /lib* -type f -name libns2.so
Ничего не должно происходить.
Затем убедитесь, что вредоносная программа не использует сокет домена Unix.
sudo netstat -nap | grep "@/proc/udevd"
Если никакая команда не дает результатов, система чиста.
Ссылка на подробную информацию о Сhkrootkit  - https://www.opennet.ru/base/sec/chkrootkit.txt.html

Ссылки на все сборки и пакеты настроек на странице Скачать