Анализировать logwatch и вспомогательный файл

Question

Анализировать logwatch и вспомогательный файл

У нас есть и журнал, и вспомогательный файл. Мы хотели бы узнать, произошло ли какое-либо вторжение, поскольку этот сервер некоторое время не работал. У нас немало таких записей в файлах помощников. Значит ли это, что что-то не так произошло?

File /etc/networks in databases has different attributes, 10020021d,20021d
File /etc/dnsmasq.conf in databases has different attributes, 10020021d,20021d
File /etc/exports in databases has different attributes, 340205bbd,240205bbd
File /etc/cgrules.conf in databases has different attributes, 10020021d,20021d
File /etc/autofs_ldap_auth.conf in databases has different attributes, 10020021d,20021d

2

centos logwatch aide

Источник

user132638 31 авг '12 в 14:18

1 ответ

Другие вопросы по тегам centos logwatch aide

Kevin Keane 17 май '15 в 23:28 2015-05-17 23:28 · Answer 1 · 2015-05-17 23:28

AIDE может указывать только на файлы, которые изменились, но не может знать, почему эти файлы изменились. Это может быть вторжение, но это также может быть просто обновление программного обеспечения.

Вам необходимо просмотреть список отчетов AIDE, и для каждого файла выяснить, почему он изменился, или что изменилось. Я бы начал с рассмотрения шаблона - например, если файл конфигурации и соответствующие двоичные файлы и справочные страницы были обновлены, скорее всего, это обновление программного обеспечения. Затем убедитесь, что вы учитываете обновление программного обеспечения, поскольку это могло быть либо ожидаемое обновление программного обеспечения, либо хакер, заменивший пакет пакетом, содержащим бэкдор. Посмотрите в файлах журнала yum и т. Д., Когда произошло соответствующее обновление.

Точно так же откройте файлы конфигурации и убедитесь, что значения хорошие (имейте в виду, что некоторые хаки очень трудно обнаружить невооруженным глазом!)