<div dir="ltr">Hi - <div><br></div><div>I am wondering why OSSEC would be reporting hidden processes on my ovirt nodes? I run OSSEC across the infrastructure and multiple ovirt clusters have assorted nodes that will report a process is running but does not have an entry in /proc and thus &quot;possible rootkit&quot; alert is fired</div><div><br></div><div>I am well aware that I do not have rootkits on these systems but am wondering what exactly inside ovirt is causing this to trigger? Or any ideas? Below is sample alert. All my google-fu turns up is that a process would have to **try** to hide itself from /proc, so curious what this is inside ovirt. Thanks!</div><div><br></div><div>-------------<br></div><div><br></div><div><span style="font-size:12.8px">OSSEC HIDS Notification.</span><br style="font-size:12.8px"><span style="font-size:12.8px">2017 Mar 20 11:54:47</span><br><br style="font-size:12.8px"><span style="font-size:12.8px">Received From: (ovirtnode2.mydomain.com2) any-&gt;rootcheck</span><br style="font-size:12.8px"><span style="font-size:12.8px">Rule: 510 fired (level 7) -&gt; &quot;Host-based anomaly detection event (rootcheck).&quot;</span><br style="font-size:12.8px"><span style="font-size:12.8px">Portion of the log(s):</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">Process &#39;24574&#39; hidden from /proc. Possible kernel level rootkit.</span><br style="font-size:12.8px"><br style="font-size:12.8px"><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px"> --END OF NOTIFICATION</span><br></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">------------</span></div></div>