checksecurity / setuid muda, isso é um bug ou alguém invadiu?

2

Recebi um email da checksecurity do meu servidor Ubuntu 12.04 com o seguinte conteúdo:

--- setuid.today    2012-06-03 06:48:09.892436281 +0200
+++ /var/log/setuid/setuid.new.tmp  2012-06-17 06:47:51.376597730 +0200
@@ -30,2 +30,2 @@
-  131904  4755   2 root       root           71280 Wed May 16 07:23:08.0000000000 2012 ./usr/bin/sudo
-  131904  4755   2 root       root           71280 Wed May 16 07:23:08.0000000000 2012 ./usr/bin/sudoedit
+  143967  4755   2 root       root           71288 Fri Jun  1 05:53:44.0000000000 2012 ./usr/bin/sudo
+  143967  4755   2 root       root           71288 Fri Jun  1 05:53:44.0000000000 2012 ./usr/bin/sudoedit
@@ -42 +42 @@
-  130507   666   1 root       root               0 Sat Jun  2 18:04:57.0752979385 2012 ./var/spool/postfix/dev/urandom
+  130507   666   1 root       root               0 Mon Jun 11 08:47:16.0919802556 2012 ./var/spool/postfix/dev/urandom
Primeiro eu estava preocupado, então eu percebi que a mudança foi na verdade duas semanas atrás, eu acho que houve uma atualização de sudo naquela época.

Como o checksecurity é executado em /etc/cron.daily, fiquei imaginando por que só recebo esse email agora. Eu olhei em / var / log / setuid / e encontrei os seguintes arquivos:

total 32
-rw-r----- 1 root adm   816 Jun 17 06:47 setuid.changes
-rw-r----- 1 root adm   228 Jun  3 06:48 setuid.changes.1.gz
-rw-r----- 1 root adm   328 May 27 06:47 setuid.changes.2.gz
-rw-r----- 1 root root 1248 May 20 06:47 setuid.changes.3.gz
-rw-r----- 1 root adm  4473 Jun 17 06:47 setuid.today
-rw-r----- 1 root adm  4473 Jun  3 06:48 setuid.yesterday

A coisa mais óbvia que me confunde é que o arquivo setuid.yesterday não é de ontem = junho / 16.

Isso é um bug?

    
por Fabian Zeindl 17.06.2012 / 09:07

0 respostas

Tags