As propriedades do arquivo de relatórios do Rkhunter foram alteradas

Question

As propriedades do arquivo de relatórios do Rkhunter foram alteradas

#1 resposta do (5 votos)
#2 resposta do (1 votos)

6

Estou executando uma cópia LTS totalmente atualizada do servidor Ubuntu. Hoje eu corri rkhunter (como faço de vez em quando). Esta é a saída que recebi:

 Warning: The file properties have changed:
[15:52:25]          File: /bin/ps
[15:52:25]          Current hash: f22991ec93ae966c856d367f42fc3d8a484bd827
[15:52:25]          Stored hash : 1892268bf195ac118076b1b0f53e7a637eb6fbb3
[15:52:25]          Current inode: 142902    Stored inode: 130894
[15:52:25]          Current file modification time: 1324307913 (19-Dec-2011 07:18:33)
[15:52:25]          Stored file modification time : 1260992081 (16-Dec-2009 11:34:41)



 Warning: The file properties have changed:
[15:52:33]          File: /usr/bin/ldd
[15:52:33]          Current hash: f1e2ca5aa3a28994e2cebb64c993a72b7d97b28c
[15:52:33]          Stored hash : 295d9cedb121a5e431a39a6d201ecd7ce5640497
[15:52:33]          Current inode: 2236210    Stored inode: 2234359
[15:52:33]          Current size: 5280    Stored size: 5279
[15:52:33]          Current file modification time: 1331165514 (07-Mar-2012 16:11:54)
[15:52:33]          Stored file modification time : 1295653965 (21-Jan-2011 15:52:45)



 Warning: The file properties have changed:
[15:52:37]          File: /usr/bin/pgrep
[15:52:37]          Current hash: 3eada9a96760f3e2c9111cfe32901d1432813c1d
[15:52:37]          Stored hash : ce265d0db9964b173fe5036f703a9b8d66e55df3
[15:52:37]          Current inode: 2229646    Stored inode: 2224867
[15:52:37]          Current file modification time: 1324307913 (19-Dec-2011 07:18:33)
[15:52:37]          Stored file modification time : 1260992081 (16-Dec-2009 11:34:41)




Warning: The file properties have changed:
[15:52:41]          File: /usr/bin/top
[15:52:41]          Current hash: 6be13737d8b0950cea2f1ae3a46d4af713dbe971
[15:52:41]          Stored hash : c7b495ecef3982eeb6f08a511861b1a1ae8775e6
[15:52:41]          Current inode: 2229629    Stored inode: 2224862
[15:52:41]          Current file modification time: 1324307913 (19-Dec-2011 07:18:33)
[15:52:41]          Stored file modification time : 1260992081 (16-Dec-2009 11:34:41)



Warning: The file properties have changed:
[15:52:53]          File: /usr/sbin/cron
[15:52:53]          Current hash: e783ca973f970aa8a4bf5edc670e690b33914c3d
[15:52:53]          Stored hash : 4718257a8060736b9058aed025c992f02a74a5a7
[15:52:53]          Current inode: 2224719    Stored inode: 2228839
[15:52:54]          Current file modification time: 1330965568 (05-Mar-2012 08:39:28)

Havia também alguns outros que deixei de fora. Meu servidor foi enraizado? Estou executando o fail2ban e monito logins ssh com falha. nada apareceu. Alguém poderia comparar esses hashes com sua cópia do Ubuntu Server (lts)? Por favor me diga que estes são falsos positivos .....

Editar:

Esta é uma lista de todos os arquivos com md5s ímpares:

kill
ps
ldd
pgrep
top
vmstat
w
watch
w.procps  
sysctl
cron

Isso não parece tão bom. Eu vou criar um vm com a mesma distro e atualizá-lo, então execute o rkhunter novamente. Se eu fui hackeado, como eles entraram? O SSH está em uma porta não padrão, estou executando o fail2ban e verifico os logs diariamente. Estou executando o apache, mas não há nada em que o www-data tenha acesso de gravação. Estou confuso.

rkhunter ubuntu

por CountMurphy 22.03.2012 / 00:07

2 respostas

1

Bem, se o seu sistema foi comprometido, você não pode confiar em seus registros de qualquer maneira.

Se você não tiver executado o rkhunter desde 2009 e tiver atualizado seu sistema, esses podem ser falsos positivos. Caso contrário, é hora de dar uma boa olhada nos seus backups.

por 22.03.2012 / 00:12

Tags rkhunter ubuntu

Quais problemas de desempenho existem com o uso de links simbólicos para o seu docroot do Apache O nagios do Acelerador alerta se o host perde a conectividade

score 5 · Accepted Answer

A partir dos timestamps parece que você atualizou vários programas construídos de 19 de dezembro sobre as 7:30.
Os timestamps de modificação devem ser os timestamps de construção. Depende de como eles são colocados no lugar. Alguns programas estão vinculados a / etc / alternatives, e os links simbólicos terão o registro de data e hora da instalação. Essa pode ser uma atualização de segurança automática.

Verifique Verifique seu arquivo /var/log/apt/history.log a partir de então. É provável que seja compactado e girado, mas pode ser lido com zless. If you use aptitude to do your updates, check its log / var / log / aptitude.log '. Muitos pacotes possuem md5sums que podem ser usados para verificar se os arquivos que eles contêm não foram modificados. É mais seguro executar ferramentas vinculadas estaticamente de uma mídia somente leitura que contém as somas de verificação de comparação. No entanto, se você não acha que o toolchain md5 está comprometido, você pode usar os arquivos locais.

Programas como rkhunter geralmente requerem uma opção para ativar a atualização do banco de dados de somas de verificação. Você pode querer executar o programa antes de executar as atualizações e, novamente, após as atualizações com o switch para capturar os códigos hash alterados.