Eu vejo alguns deles, e todos parecem ser erros de bit único. Neste ponto, eu consideraria substituir o disco rígido, usando RAID / ZFS, etc.
rkhunter relatou uma mudança de arquivo único em um servidor virtual (netstat binário). Não relatou nenhum outro aviso. A alteração não foi o resultado de uma atualização de pacote (eu a reinstalei e a soma de verificação está de volta como era antes).
Eu estou querendo saber se isso é uma corrupção de arquivos ou uma intrusão. Eu acho que uma intrusão teria mudado muitos outros arquivos assistidos pelo rkhunter (ou nenhum se o intruso tivesse acesso ao banco de dados do rkhunter).
Eu desmontei os dois binários com objdump -d e armazenei o diff aqui: link
O diff completo gerado com objdump -s está aqui: link
Eu acho que uma corrupção de arquivo teria mudado blocos grandes ou bits únicos, não blocos pequenos como este.
Estas alterações parecem suspeitas? Como eu poderia investigar mais?
O sistema está executando o Debian Squeeze.
Concordo que isso não seja uma invasão, mas um erro de hardware de algum tipo.
Eu também consideraria se você tem um stick de RAM com falha e execute um memtest86 no servidor host - os erros de um único bit também podem ser erros de RAM não-ECC. Se você tiver RAM ECC, você pode descartar isso (cada servidor deve usar a RAM ECC e, de preferência, o ZFS para detectar RAM e corrupção de disco).
Também pode ser um erro no controlador de disco.
Geralmente vale a pena checar seus logs em busca de erros de controlador e de disco, e tentar isolar a causa da inversão de bits - é apenas em um disco, isso ainda acontece se você trocar os sticks de RAM, etc.
Se você tiver uma ferramenta de backup que faz a soma de verificação dos blocos ou arquivos de dados, isso funcionará um pouco como o ZFS para detectar corrupção mais ampla em mais do que esse arquivo único.
Se este for um servidor importante, basta substituir a RAM e o disco por uma opção rápida, permitindo que você os teste em um sistema não crítico off-line.
Alguns antecedentes de um estudo do CERN: link