Estou testando rkhunter em um servidor Ubuntu 16.04 no Virtualbox.
Em 11 de outubro recebi um alerta por e-mail de rkhunter me convidando para "Por favor, inspecione esta máquina, porque ela pode estar infectada".
Então fiz uma varredura com rkhunter e encontrei o seguinte resultado:
$ sudo rkhunter -c --rwo
Warning: The file properties have changed:
File: /usr/bin/curl
Current hash: f025f2f2dca226c921b2b09da78b220656c098652d41c8654dc4853ff3fd1e5a
Stored hash : cf846b7f3f11fc8af6cf79a2bbad3c8314eec72c1425b49bc9e34cf85a5090bb
Current inode: 661569 Stored inode: 661888
Current file modification time: 1507203916 (05-Oct-2017 13:45:16)
Stored file modification time : 1478126766 (02-Nov-2016 23:46:06)
Então, decidi verificar o curl package:
$ dpkg -S curl
$ echo $?
0
Como você pode ver, nada foi relatado.
Eu li uma discussão em serverfault onde foi sugerido para verificar se a mudança de hash era devido a uma atualização de segurança automática.
Verificando /var/log/apt/history.log notei que houve uma atualização automática de curl a partir de 2017-10-11.
Eu me pergunto: por que rkhunter relata 05 de outubro como a data de modificação do arquivo enquanto a atualização foi feita em 11 de outubro?