Nós rodamos aqui um (novo) sistema CentOS 7. Para observar o sistema contra mudanças inválidas / ataques de hackers, corremos o rkhunter todas as noites. Além disso, após cada atualização (yum), pré-construímos tudo e rodamos "rkhunter - propupd".
Isso funciona bem. Mas depois de alguns dias recebemos o seguinte erro:
[03:55:02] Warning: WARNING! It is the users responsibility to ensure that when the '--propupd' option
is used, all the files on their system are known to be genuine, and installed from a
reliable source. The rkhunter '--check' option will compare the current file properties
against previously stored values, and report if any values differ. However, rkhunter
cannot determine what has caused the change, that is for the user to do.
...
...
...
[03:55:04] Warning: Checking for prerequisites [ Warning ]
[03:55:04] The local host configuration or operating system has changed.
[03:55:05] /usr/sbin/adduser [ Warning ]
[03:55:05] Warning: No inode value found for file '/usr/sbin/adduser' in the 'rkhunter.dat' file.
[03:55:05] /usr/sbin/chkconfig [ Warning ]
[03:55:05] Warning: No inode value found for file '/usr/sbin/chkconfig' in the 'rkhunter.dat' file.
[03:55:05] /usr/sbin/chroot [ Warning ]
Temos certeza de que o servidor não foi invadido. Porque nós verificamos a data e o tamanho de alguns dos arquivos binários. Também criamos uma soma de verificação de alguns desses arquivos. Todos os arquivos são idênticos e inalterados após o aviso do rkhunter.
Mas nós queremos descobrir qual é o motivo dos avisos rkhunter ...
Alguma idéia?
EDITAR:
Existe também um outro aviso nos arquivos de log do rkhunter:
[03:55:05] Warning: The system has changed to not using prelinking since the last run.
[03:55:05] Because of the change(s) the file properties checks may give some false-positive results.
[03:55:05] You may need to re-run rkhunter with the '--propupd' option.
E essa também é a solução. Veja na minha resposta abaixo ....
Encontrou! Hoje eu olhei em vários arquivos de log. E então eu encontrei um arquivo de log prelink. O arquivo de log mostra que estava executando um processo de pré-conexão. Depois de procurar um trabalho prelink nos arquivos cron eu encontrei em /etc/cron.daily . Tenho certeza que esta é a razão para o aviso do rkhunter ...: -)