我正在运行ubuntu服务器的完全更新的LTS副本.今天我跑了rkhunter(就像我不时那样).这是我得到的输出:
Warning: The file properties have changed: [15:52:25] File: /bin/ps [15:52:25] Current hash: f22991ec93ae966c856d367f42fc3d8a484bd827 [15:52:25] Stored hash : 1892268bf195ac118076b1b0f53e7a637eb6fbb3 [15:52:25] Current inode: 142902 Stored inode: 130894 [15:52:25] Current file modification time: 1324307913 (19-Dec-2011 07:18:33) [15:52:25] Stored file modification time : 1260992081 (16-Dec-2009 11:34:41) Warning: The file properties have changed: [15:52:33] File: /usr/bin/ldd [15:52:33] Current hash: f1e2ca5aa3a28994e2cebb64c993a72b7d97b28c [15:52:33] Stored hash : 295d9cedb121a5e431a39a6d201ecd7ce5640497 [15:52:33] Current inode: 2236210 Stored inode: 2234359 [15:52:33] Current size: 5280 Stored size: 5279 [15:52:33] Current file modification time: 1331165514 (07-Mar-2012 16:11:54) [15:52:33] Stored file modification time : 1295653965 (21-Jan-2011 15:52:45) Warning: The file properties have changed: [15:52:37] File: /usr/bin/pgrep [15:52:37] Current hash: 3eada9a96760f3e2c9111cfe32901d1432813c1d [15:52:37] Stored hash : ce265d0db9964b173fe5036f703a9b8d66e55df3 [15:52:37] Current inode: 2229646 Stored inode: 2224867 [15:52:37] Current file modification time: 1324307913 (19-Dec-2011 07:18:33) [15:52:37] Stored file modification time : 1260992081 (16-Dec-2009 11:34:41) Warning: The file properties have changed: [15:52:41] File: /usr/bin/top [15:52:41] Current hash: 6be13737d8b0950cea2f1ae3a46d4af713dbe971 [15:52:41] Stored hash : c7b495ecef3982eeb6f08a511861b1a1ae8775e6 [15:52:41] Current inode: 2229629 Stored inode: 2224862 [15:52:41] Current file modification time: 1324307913 (19-Dec-2011 07:18:33) [15:52:41] Stored file modification time : 1260992081 (16-Dec-2009 11:34:41) Warning: The file properties have changed: [15:52:53] File: /usr/sbin/cron [15:52:53] Current hash: e783ca973f970aa8a4bf5edc670e690b33914c3d [15:52:53] Stored hash : 4718257a8060736b9058aed025c992f02a74a5a7 [15:52:53] Current inode: 2224719 Stored inode: 2228839 [15:52:54] Current file modification time: 1330965568 (05-Mar-2012 08:39:28)
还有一些我遗漏了.我的服务器是否已植根?我正在运行fail2ban并监视失败的ssh登录.什么都没有出现.有人可以将这些哈希值与他们的Ubuntu Server(lts)副本进行比较吗?请告诉我这些都是误报…..
编辑:
这是奇数md5s的所有文件的列表:
kill ps ldd pgrep top vmstat w watch w.procps sysctl cron
这看起来不太好.我将使用相同的发行版创建一个虚拟机并更新它,然后再次运行rkhunter.如果我被黑了,他们究竟是怎么进来的? SSH在非标准端口上,我正在运行fail2ban并每天检查日志.我正在运行apache,但没有任何www-data具有写访问权限.我糊涂了.
从时间戳开始,您似乎更新了12月19日左右7:30左右建立的几个程序.
修改时间戳应该是构建时间戳.这取决于他们如何移动到位.有些程序通过/ etc / alternatives链接,符号链接将具有安装的时间戳.这可能是一个自动安全更新.
修改时间戳应该是构建时间戳.这取决于他们如何移动到位.有些程序通过/ etc / alternatives链接,符号链接将具有安装的时间戳.这可能是一个自动安全更新.
检查从那时起检查您的/var/log/apt/history.log文件.它很可能被压缩和旋转,但可以用zless读取.如果您使用aptitude进行更新,请检查其log / var / log / aptitude.log`.许多软件包都有md5sums,可用于验证它们包含的文件是否未被修改.从包含比较校验和的只读媒体运行静态链接工具是最安全的.但是,如果您认为md5工具链没有受到攻击,则可以使用本地文件.
像rkhunter这样的程序通常需要一个开关才能更新校验和数据库.您可能希望在运行更新之前运行该程序,然后在使用交换机进行更新之后再次运行该程序以捕获更改的哈希代码.