rkhunter在虚拟服务器(netstat二进制文件)上报告了单个文件的更改。 它没有报告任何其他警告。 这个更改不是升级包的结果(我重新安装了它,校验和恢复到之前的状态)。
我想知道这是一个文件损坏或入侵。 我想入侵会改变rkhunter监视的许多其他文件(或者如果入侵者访问rkhunter的数据库,则不会有任何文件)。
我用objdump -d反汇编了这两个二进制文件,并在这里存储了diff: https : //gist.github.com/3972886
使用objdump -s生成的完全转储差异在这里: https : //gist.github.com/3972937
我想文件损坏会改变大块或单个位,而不是像这样的小块。
这些变化看起来可疑吗? 我怎么能调查更多?
系统正在运行Debian Squeeze。
我点了一些检查,他们都似乎是一位错误。 在这一点上,我会考虑更换硬盘,使用RAID / ZFS等。
我同意这不是入侵,而是某种硬件错误。
我还会考虑你是否有一个失败的RAM棒,并在主机服务器上运行memtest86 – 单比特错误也可能是非ECC RAM错误。 如果你有ECC RAM,你可以排除这一点(每个服务器当然应该使用ECC RAM,最好是ZFS来检测RAM和磁盘损坏)。
这也可能是磁盘控制器错误。
一般来说,检查控制器和磁盘错误的日志是值得的,并尝试找出翻转的原因 – 是否只在一个磁盘上,如果交换RAM棒等,是否还会发生?
如果您有备份工具执行数据块或文件的校验和,那么就会像ZFS一样在多于单个文件中检测到更广泛的损坏。
如果这是一个重要的服务器,只需更换内存和磁盘将是一个快速的select,让你在一个非关键的系统离线testing它们。
来自CERN研究的一些背景: http : //storagemojo.com/2007/09/19/cerns-data-corruption-research/