服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Rkhunter报告文件属性已经改变
Intereting Posts
VPC中2个EC2实例之间的networking速度 BitTorrent是否适合在工作场所的服务器之间复制文件? pipe理多个LUKS设备 将虚拟机从MS Virtual Server 2005迁移到Hyper-V? Ubuntulogin屏幕分辨率是closures的 安全的电子邮件托pipe网站? 备份VMWare ESX 3.5中的所有虚拟机以进行场外存储 仙人掌不显示graphics 有问题得到SVN服务器的工作 如何pipe理对克隆虚拟机集的更改? modsecurity将certiantypes的cookiesjoin白名单 我怎样才能检查我的数据库是否需要更多的内存? AWS ELB:开放连接的cloudwatch指标? SYSTEM进程没有写权限 fsck:文件系统在每次使用-c检查后都会被修改,为什么?

Rkhunter报告文件属性已经改变

我正在运行Ubuntu服务器的完全更新的LTS副本。 今天我运行rkhunter(就像我不时做的那样)。 这是我得到的输出: 

Warning: The file properties have changed: [15:52:25] File: /bin/ps [15:52:25] Current hash: f22991ec93ae966c856d367f42fc3d8a484bd827 [15:52:25] Stored hash : 1892268bf195ac118076b1b0f53e7a637eb6fbb3 [15:52:25] Current inode: 142902 Stored inode: 130894 [15:52:25] Current file modification time: 1324307913 (19-Dec-2011 07:18:33) [15:52:25] Stored file modification time : 1260992081 (16-Dec-2009 11:34:41) Warning: The file properties have changed: [15:52:33] File: /usr/bin/ldd [15:52:33] Current hash: f1e2ca5aa3a28994e2cebb64c993a72b7d97b28c [15:52:33] Stored hash : 295d9cedb121a5e431a39a6d201ecd7ce5640497 [15:52:33] Current inode: 2236210 Stored inode: 2234359 [15:52:33] Current size: 5280 Stored size: 5279 [15:52:33] Current file modification time: 1331165514 (07-Mar-2012 16:11:54) [15:52:33] Stored file modification time : 1295653965 (21-Jan-2011 15:52:45) Warning: The file properties have changed: [15:52:37] File: /usr/bin/pgrep [15:52:37] Current hash: 3eada9a96760f3e2c9111cfe32901d1432813c1d [15:52:37] Stored hash : ce265d0db9964b173fe5036f703a9b8d66e55df3 [15:52:37] Current inode: 2229646 Stored inode: 2224867 [15:52:37] Current file modification time: 1324307913 (19-Dec-2011 07:18:33) [15:52:37] Stored file modification time : 1260992081 (16-Dec-2009 11:34:41) Warning: The file properties have changed: [15:52:41] File: /usr/bin/top [15:52:41] Current hash: 6be13737d8b0950cea2f1ae3a46d4af713dbe971 [15:52:41] Stored hash : c7b495ecef3982eeb6f08a511861b1a1ae8775e6 [15:52:41] Current inode: 2229629 Stored inode: 2224862 [15:52:41] Current file modification time: 1324307913 (19-Dec-2011 07:18:33) [15:52:41] Stored file modification time : 1260992081 (16-Dec-2009 11:34:41) Warning: The file properties have changed: [15:52:53] File: /usr/sbin/cron [15:52:53] Current hash: e783ca973f970aa8a4bf5edc670e690b33914c3d [15:52:53] Stored hash : 4718257a8060736b9058aed025c992f02a74a5a7 [15:52:53] Current inode: 2224719 Stored inode: 2228839 [15:52:54] Current file modification time: 1330965568 (05-Mar-2012 08:39:28)

还有一些我遗漏了。 我的服务器是否已经生根? 我正在运行fail2ban并监视失败的sshlogin。 没有出现。 有人可以将这些散列与Ubuntu服务器(lts)的副本进行比较吗? 请告诉我这些是误报…..

编辑:

这是所有具有奇数md5s的文件列表: 

 kill ps ldd pgrep top vmstat w watch w.procps sysctl cron

这看起来不太好。 我将用同样的发行版创build一个虚拟机并更新它,然后再运行rkhunter。 如果我被黑了,他们究竟是怎么进来的? SSH是在一个非标准的端口,我正在运行fail2ban并每天检查日志。 我正在运行Apache,但没有什么万维网数据有写访问权限。 我很困惑。

从时间戳看,你似乎更新了7月19日7:30左右build立的几个程序。
修改时间戳应该是构build时间戳。 这取决于他们如何移动到位。 某些程序通过/ etc / alternatives链接到链接,符号链接将有安装的时间戳。这可能是一个自动安全更新。

检查从那里检查你的/var/log/apt/history.log文件。 它可能被压缩和旋转,但可以用zless. If you use aptitude to do your updates, check its log读取zless. If you use aptitude to do your updates, check its log zless. If you use aptitude to do your updates, check its log / var / log / aptitude.log`。 许多软件包都有md5sum,可以用来validation它们包含的文件没有被修改。 从包含比较校验和的只读介质运行静态链接的工具是最安全的。 但是,如果您不认为md5工具链受到威胁,则可以使用本地文件。

rkhunter这样的程序通常需要一个开关来启用更新他们的校验和数据库。 您可能希望在运行更新之前运行该程序,然后再使用交换机更新以捕获更改后的哈希代码。

那么,如果你的系统受到了威胁,那么你无法相信你的日志。

如果您从2009年起还没有运行rkhunter,并且您已经更新了系统,那么这可能是误报。 否则是时候仔细看看你的备份。