我们有logging和助手文件。 我们想知道如何知道这个服务器在一段时间内没有被激活是否发生了入侵。 我们在助手文件中的相当多的条目。 这是否意味着发生了一些错误?
File /etc/networks in databases has different attributes, 10020021d,20021d File /etc/dnsmasq.conf in databases has different attributes, 10020021d,20021d File /etc/exports in databases has different attributes, 340205bbd,240205bbd File /etc/cgrules.conf in databases has different attributes, 10020021d,20021d File /etc/autofs_ldap_auth.conf in databases has different attributes, 10020021d,20021d AIDE只能指向已更改的文件,但无法知道这些文件为何发生更改。 这可能是一个入侵,但它也可以只是一个软件更新。
您需要浏览列表AIDE报告,并为每个文件找出为什么改变,或者改变了什么 。 我将首先看一个模式 – 例如,如果一个configuration文件和相应的二进制文件和手册页已经全部更新,那很可能是一个软件更新。 然后确保你对软件更新进行了说明,因为它可能是一个预期的软件更新,或者一个黑客用一个包含后门程序的软件包replace软件包。 在yum日志文件等查找相应的更新发生。
同样,打开configuration文件并确保值是好的(请记住,一些黑客很难用肉眼发现!)