Saat menjalankan chkrootkit pada salah satu Server di Kantor, tiba-tiba mendapatkan hasil …

Checking `bindshell'... INFECTED (PORTS: 465)

Kemudian karena penasaran Saya ingin melihat proses apa yang aktif pada port dimaksud:

#netstat -pan | grep ":465"

Didapatkan hasil

tcp        0      0 0.0.0.0:465             0.0.0.0:*               
LISTEN      1368/master

Untuk mencari tahu perintah yang menjalankan proses tersebut:

#ps -F -p 1368

Didapatkan hasil:

UID        PID  PPID  C    SZ   RSS PSR STIME TTY          TIME CMD
root      1368     1  0 11996  2412   0 20:53 ?        00:00:00 
/opt/zimbra/postfix/libexec/master

Ternyata aplikasi mta postfix milik zimbra.