我安装OSSSEC非常文件chnaged或不。 但是有时候会给我虚假的敬畏和完整性校验,就像下面的文件一样。
我怎样才能让文件chnaged系统不是由病毒itslef。 这很混乱。 可能是这种情况,文件实际上是由病毒chnaged,我只是忽略了它
它从OSSSEC日志中得到以下内容
Integrity checksum changed for: '/etc/passwd,v' Integrity checksum changed for: '/etc/userdomains' Integrity checksum changed for: '/etc/shadow.cache' Integrity checksum changed for: '/etc/domainusers' Integrity checksum changed for: '/etc/userplans,v Integrity checksum changed for: '/etc/trueuserdomains' Integrity checksum changed for: '/etc/proftpd/passwd.vhosts.cache 将文件与已知的良好备份进行比较。 看看有什么改变,如果有什么改变,你不认为是有关的事情,那么你可能有警报。
欢迎来到Linux / Posix / Unix的奇妙世界,那里只有几个被创build为POC的病毒。 在实践中,野外没有Linux病毒。 这并不是说这些系统不能被其他方式攻击 – 但是电脑病毒实际上只是MS-Windows用户(和pre-unix MAC)的一个问题。
上面列出的所有文件都包含有关在您的系统上configuration的用户帐户的信息。 如果您添加了任何用户(或者在某些情况下更改了密码),那么这些文件将被修改。
基于主机的完整性检查IDS不能告诉文件是做什么的,也不知道是谁修改的 – 这就是为什么它告诉你什么改变了,而不是告诉你它已经损坏了。 如上所述,如果你想知道文件是如何改变的,那么你需要知道文件是干什么的。
我build议如果你对系统的工作不是很熟悉的话,你应该停止扫描configuration文件和数据文件,并限制签名检查到可执行文件和库文件。 但是也要定期使用rootkit检查工具。