Análise do arquivo logwatch e aide

2

Temos o arquivo logwatch e aide. Gostaríamos de saber como saber se houve alguma invasão, já que este servidor não estava ativo por algum tempo. Nós temos um bom número dessas entradas nos arquivos aide. Isso significa que alguma coisa errada aconteceu?

File /etc/networks in databases has different attributes, 10020021d,20021d
File /etc/dnsmasq.conf in databases has different attributes, 10020021d,20021d
File /etc/exports in databases has different attributes, 340205bbd,240205bbd
File /etc/cgrules.conf in databases has different attributes, 10020021d,20021d
File /etc/autofs_ldap_auth.conf in databases has different attributes, 10020021d,20021d
    
por user132638 31.08.2012 / 16:18

1 resposta

0

O AIDE só pode apontar você para arquivos que foram alterados, mas não tem como saber porque esses arquivos foram alterados. Pode ser uma invasão, mas também pode ser simplesmente uma atualização de software.

Você precisa ler os relatórios AIDE da lista e, para cada arquivo, descobrir por que ele mudou, ou o que mudou. Eu começaria olhando para um padrão - por exemplo, se um arquivo de configuração e os binários e páginas de manual correspondentes tivessem sido atualizados, provavelmente seria uma atualização de software. Em seguida, certifique-se de considerar a atualização de software, porque ela pode ter sido uma atualização de software esperada ou um hacker substituindo um pacote por um que contenha um backdoor. Procure nos arquivos de log do yum etc. para quando a atualização correspondente aconteceu.

Da mesma forma, abra os arquivos de configuração e verifique se os valores são bons (tendo em mente que alguns hacks são muito difíceis de detectar a olho nu!)

    
por 18.05.2015 / 01:28