Как узнать, что файлы md5 изменяются вирусом или системой centos

Question

Как узнать, что файлы md5 изменяются вирусом или системой centos

Я установил OSSSEC, чтобы файлы были изменены или нет. Но иногда это дает мне ложные проверки и контрольные суммы целостности, как следующие файлы поменяли.

Как я могу сделать так, чтобы файлы были связаны с системой, а не вирусом? Это очень запутанно. Это может быть тот случай, когда файл был фактически изменен вирусом, и я просто проигнорировал его

Это получает следующее из журналов OSSSEC

Integrity checksum changed for: '/etc/passwd,v'
Integrity checksum changed for: '/etc/userdomains'

Integrity checksum changed for: '/etc/shadow.cache'
Integrity checksum changed for: '/etc/domainusers'
Integrity checksum changed for: '/etc/userplans,v
Integrity checksum changed for: '/etc/trueuserdomains'
Integrity checksum changed for: '/etc/proftpd/passwd.vhosts.cache

0

security centos5 ossec md5

Источник

08 окт '10 в 06:28

2 ответа

Другие вопросы по тегам security centos5 ossec md5

Zoredache 08 окт '10 в 10:40 2010-10-08 10:40 · Answer 1 · 2010-10-08 10:40

Сравните файл (ы) с заведомо исправной резервной копией. Посмотрите, что изменилось, если что-то изменилось, что вы не признаете связанным с чем-то, что вы сделали, то у вас может быть причина для тревоги.

2

Источник

Zoredache 08 окт '10 в 10:40

symcbean 08 окт '10 в 12:07 2010-10-08 12:07 · Answer 2 · 2010-10-08 12:07

Добро пожаловать в удивительный мир Linux/Posix/Unix, где есть только пара вирусов, которые были созданы как POC. На практике в природе нет вирусов Linux. Это не означает, что эти системы не могут быть атакованы другими средствами - но компьютерные вирусы действительно являются проблемой только для пользователей MS-Windows (и на пре-unix-системах MAC).

Все перечисленные выше файлы содержат информацию об учетных записях пользователей, настроенных в вашей системе. Если вы добавили пользователей (или, в некоторых случаях, изменили пароль), эти файлы будут изменены.

IDS, проверяющие целостность на хосте, не могут сказать, что делают файлы и кто их изменил - поэтому он сообщает вам, что изменилось, а не просто сообщает, что он сломан. Как и выше, если вы хотите знать, как изменились файлы, то вам нужно знать, что делают файлы.

Я бы посоветовал вам, если вы не очень хорошо знакомы с работой системы, прекратить сканирование файлов конфигурации и данных и ограничить проверку подписи исполняемыми файлами и библиотеками. Но регулярно пользуйтесь инструментом для проверки руткитов.