Ложное срабатывание OSSEC? Контрольная сумма целостности снова изменена в третий раз

Меня беспокоит сообщение об изменении контрольной суммы целостности от OSSEC. Я ни разу не видел этого конкретного сообщения за пять лет, прошедших с момента работы этого сервера (не то чтобы я внимательно проверял эти сообщения после начального периода настройки сервера). Файл, о котором идет речь,/usr/sbin/groupmems.

Сервер представляет собой Ubuntu 18.04 на VPS. У меня также есть виртуальная машина с той же версией Ubuntu. Я рассчитал контрольные суммы этого файла как на сервере, так и на виртуальной машине, и они одинаковы, новая контрольная сумма указана OSSEC в своем сообщении.

Может ли кто-нибудь объяснить, как OSSEC обнаружил изменение, если файл на виртуальной машине и сервере имеют одинаковую контрольную сумму? Ни на одной из машин ничего не обновлялось за две недели до сообщения от OSSEC.

Спасибо.

Сообщение от OSSEC:

Уведомление OSSEC HIDS. 2022 25 дек 22:15:41

Получено от: ord-2->syscheck Правило: 552 запущено (уровень 7) -> «Контрольная сумма целостности снова изменена (3-й раз)». Часть журнала(ов):

Контрольная сумма целостности изменена на: '/usr/sbin/groupmems' Старая сумма md5 была: 'df3ef88ed4e8fcfbcfae47abf5715639' Новая сумма md5: '4364ce02d363d7e8e239ceea003210d2' Старая сумма sha1 была: 'e84dd002f9a391b885d02db9ec0f96926bc6b0e7' Новая сумма sha1: '6d6911789741620369d40077c1ad8691bfbb233b'