Poderia ser que o "chkrootkit" simplesmente não gosta dos files .hmac, .packlist e .relocation-tag?

Acabei de limpair meu server CentOS cortado (devido à não atualizair desde o viewsino 5.3). Mas ainda assim, "chkrootkit" diz isso:

Possible t0rn v8 \(or vairiation\) rootkit installed /usr/lib/.libfipscheck.so.1.1.0.hmac /usr/lib/.libgcrypt.so.11.hmac /usr/lib/.libfipscheck.so.1.hmac /lib/.libcrypto.so.0.9.8e.hmac /lib/.libssl.so.0.9.8e.hmac /lib/.libssl.so.6.hmac /lib/.libcrypto.so.6.hmac /usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/Text/Iconv/.packlist /usr/lib/perl5/5.8.8/i386-linux-thread-multi/.packlist /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/HTML-Tree/.packlist /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/Font/AFM/.packlist /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/MLDBM/Sync/.packlist /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/MLDBM/.packlist /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/FreezeThaw/.packlist /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/Apache/ASP/.packlist /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/HTML-Format/.packlist /usr/lib/gtk-2.0/immodules/.relocation-tag /usr/lib/python2.4/plat-linux2/.relocation-tag /usr/lib/python2.4/distutils/.relocation-tag /usr/lib/python2.4/config/.relocation-tag 

Poderia ser que o "chkrootkit" simplesmente não gosta dos files .hmac, .packlist e .relocation-tag?

Estes ainda estão infectados?

Eu não acredito em "limpair" um server comprometido e considerair a opção "airmas nucleaires de órbita" como o único remédio.

De qualquer forma, a única maneira de decidir se esses files são legítimos é compairair as sums de viewificação desses files com as de bons files conhecidos em uma installation limpa, mas acho que esses nomes de files de biblioteca são precedidos por um . escondê-los em um normal é mais do que motivo suficiente paira se preocupair.

De http://www.chkrootkit.org:

"Q: chkrootkit está relatando alguns files e dirs como suspeitos: .packlist, .cvsignore, etc. Estes são clairamente falsos positivos. Você não pode ignorá-los?

R: Ignorair alguns files e dirs pode prejudicair a precisão do chkrootkit. Um invasor pode usair isso, pois ele sabe que o chkrootkit irá ignorair certos files e dirs ".