Rkhunter сообщает, что свойства файла изменились

Question

Rkhunter сообщает, что свойства файла изменились

Я использую полностью обновленную LTS копию сервера Ubuntu. Сегодня я бегал rkhunter (как я делаю время от времени). Это вывод, который я получил:

 Warning: The file properties have changed:
[15:52:25]          File: /bin/ps
[15:52:25]          Current hash: f22991ec93ae966c856d367f42fc3d8a484bd827
[15:52:25]          Stored hash : 1892268bf195ac118076b1b0f53e7a637eb6fbb3
[15:52:25]          Current inode: 142902    Stored inode: 130894
[15:52:25]          Current file modification time: 1324307913 (19-Dec-2011 07:18:33)
[15:52:25]          Stored file modification time : 1260992081 (16-Dec-2009 11:34:41)



 Warning: The file properties have changed:
[15:52:33]          File: /usr/bin/ldd
[15:52:33]          Current hash: f1e2ca5aa3a28994e2cebb64c993a72b7d97b28c
[15:52:33]          Stored hash : 295d9cedb121a5e431a39a6d201ecd7ce5640497
[15:52:33]          Current inode: 2236210    Stored inode: 2234359
[15:52:33]          Current size: 5280    Stored size: 5279
[15:52:33]          Current file modification time: 1331165514 (07-Mar-2012 16:11:54)
[15:52:33]          Stored file modification time : 1295653965 (21-Jan-2011 15:52:45)



 Warning: The file properties have changed:
[15:52:37]          File: /usr/bin/pgrep
[15:52:37]          Current hash: 3eada9a96760f3e2c9111cfe32901d1432813c1d
[15:52:37]          Stored hash : ce265d0db9964b173fe5036f703a9b8d66e55df3
[15:52:37]          Current inode: 2229646    Stored inode: 2224867
[15:52:37]          Current file modification time: 1324307913 (19-Dec-2011 07:18:33)
[15:52:37]          Stored file modification time : 1260992081 (16-Dec-2009 11:34:41)




Warning: The file properties have changed:
[15:52:41]          File: /usr/bin/top
[15:52:41]          Current hash: 6be13737d8b0950cea2f1ae3a46d4af713dbe971
[15:52:41]          Stored hash : c7b495ecef3982eeb6f08a511861b1a1ae8775e6
[15:52:41]          Current inode: 2229629    Stored inode: 2224862
[15:52:41]          Current file modification time: 1324307913 (19-Dec-2011 07:18:33)
[15:52:41]          Stored file modification time : 1260992081 (16-Dec-2009 11:34:41)



Warning: The file properties have changed:
[15:52:53]          File: /usr/sbin/cron
[15:52:53]          Current hash: e783ca973f970aa8a4bf5edc670e690b33914c3d
[15:52:53]          Stored hash : 4718257a8060736b9058aed025c992f02a74a5a7
[15:52:53]          Current inode: 2224719    Stored inode: 2228839
[15:52:54]          Current file modification time: 1330965568 (05-Mar-2012 08:39:28)

Было также несколько других, которые я пропустил. Мой сервер был рутирован? Я использую fail2ban и наблюдаю за неудачными входами ssh. ничего не подошло Может ли кто-нибудь сравнить эти хеши с их копией Ubuntu Server (lts)? Пожалуйста, скажите мне, что это ложные срабатывания.....

Редактировать:

Это список всех файлов с нечетным md5s:

kill
ps
ldd
pgrep
top
vmstat
w
watch
w.procps  
sysctl
cron

Это не выглядит так хорошо. Я собираюсь создать VM с тем же дистрибутивом и обновить его, а затем снова запустить rkhunter. Если меня взломали, как они попали? SSH на нестандартном порту, я запускаю fail2ban и ежедневно проверяю логи. Я использую Apache, но нет доступа к данным для www-данных. Я не совсем понимаю.

8

ubuntu rkhunter

Источник

CountMurphy 21 мар '12 в 23:07

4 ответа

Другие вопросы по тегам ubuntu rkhunter

BillThor 22 мар '12 в 08:00 2012-03-22 08:00 · Answer 1 · 2012-03-22 08:00

Из отметок времени похоже, что вы обновили несколько программ, созданных 19 декабря, около 7:30.
Временные метки модификации должны быть временными метками сборки. Это зависит от того, как они перемещаются на место. Некоторые программы связаны с помощью / etc / alternatives, и символические ссылки будут иметь временную метку установки. Это может быть автоматическое обновление безопасности.

Проверьте Проверьте свой /var/log/apt/history.log файл с того времени. Это, вероятно, сжато и повернуто, но может быть прочитано с zless. If you use aptitude to do your updates, check its log/ Вар / Журнал / aptitude.log`. Многие пакеты имеют md5sums, которые можно использовать для проверки того, что содержащиеся в них файлы не были изменены. Безопаснее всего запускать статически связанные инструменты с носителя только для чтения, который содержит контрольные суммы сравнения. Однако, если вы не думаете, что набор инструментов md5 скомпрометирован, вы можете использовать локальные файлы.

Такие программы, как rkhunter обычно требуется переключатель, чтобы включить обновление своей базы данных контрольных сумм. Возможно, вы захотите запустить программу перед запуском обновлений, а затем снова после обновлений с коммутатором, чтобы захватить измененные хэш-коды.

15 окт '20 в 01:02 2020-10-15 01:02 · Answer 2 · 2020-10-15 01:02

Тебе нужно бежать

sudo rkhunter --update --propupd

после любого ручного или автоматического обновления. Взял отсюда:

Взял отсюда и у меня отлично сработало.

Всего наилучшего!

2

Источник

15 окт '20 в 01:02

Lucas Kauffman 21 мар '12 в 23:12 2012-03-21 23:12 · Answer 3 · 2012-03-21 23:12

Что ж, если ваша система была взломана, то вы все равно не могли бы доверять своим журналам.

Если вы не запускали rkhunter с 2009 года и обновили свою систему, это может быть ложным срабатыванием. В противном случае пришло время внимательно изучить резервные копии.

1

Источник

Lucas Kauffman 21 мар '12 в 23:12

João Pimentel Ferreira 16 ноя '23 в 09:42 2023-11-16 09:42 · Answer 4 · 2023-11-16 09:42

Поскольку вы упомянули Ubuntu, которая действительно поставляется с APT, это происходит потому, что вы обновляете исполняемые файлы через, но база данных rkhunter не обновляется соответствующим образом.

Либо сделайте это вручную с помощью:

      sudo rkhunter --update --propupd

после каждогоapt update && apt upgrade

или автоматически:

В/etc/rkhunter.confнабор

      PKGMGR='DPKG'

И в/etc/default/rkhunterнабор

      APT_AUTOGEN="true"