Я только что установил OSSEC, и он говорит об этом
Process '2517' hidden from /proc. Possible kernel level rootkit.
Excessive number of hidden processes. It maybe a false-positive or something really bad is going on.
Это мой живой сервер, и я размещаю на нем около 20 сайтов.
Как я могу это удалить. и какой максимальный урон он может нанести
Вероятно, было бы неплохо установить и запустить Rkhunter. Если это подтверждает, что вы были скомпрометированы, единственное реальное действие - сделать копию скомпрометированного сервера для последующего анализа, а затем переустановить с нуля и восстановить с помощью заведомо исправных резервных копий.
Вы видите этот скрытый процесс каждый раз, когда запускаете OSSEC? Если вы видите это только один раз, возможно, произошла задержка между получением OSSEC информации от ps (скажем), а затем он проверил его по / proc. Тем временем процесс мог быть завершен, что вызвало только что увиденное предупреждение.
Возможно, OSSEC использует unhide утилита для проверки скрытых процессов. Этот инструмент иногда вызывает ложные срабатывания.
Вы можете проверить себя, запустив unhide proc или unhide-linux26 proc для 64-битной системы.