rkhunter / usr / bin / ssh && / usr / sbin / sshd [Aviso]

3

Minha última varredura rkhunter relatou alguns avisos que merecem ser verificados. A principal razão para o meu suspeito é que eu não estava na máquina em (03-Abr-2014 01:12:12) - > AM

Eu pesquisei para saber qual é o propósito dos dois arquivos que mencionei no título da questão, mas não encontrei respostas muito úteis. Alguém pode me dizer qual é o objetivo desses arquivos, e talvez também porque / quando seria modificado pelo próprio sistema?

[10:17:11] Warning: The file properties have changed:
[10:17:11]          File: /usr/sbin/sshd
[10:17:11]          Current hash: 900e153506754ceb7b19f3a01a3ad5e36d43d958
[10:17:11]          Stored hash : 55a1a63a46d84eb9d0322f96bd9a61f070e90698
[10:17:11]          Current inode: 149998    Stored inode: 142248
[10:17:11]          Current file modification time: 1396480332 (03-Apr-2014 01:12:12)
[10:17:11]          Stored file modification time : 1360359087 (08-Feb-2013 22:31:27)
[10:17:34] Warning: The file properties have changed:
[10:17:34]          File: /usr/bin/ssh
[10:17:34]          Current hash: 60366d414c711a70f9e313f5ff26213ca513b565
[10:17:34]          Stored hash : 1b410fb0de841737f963e1ee011989f155f41259
[10:17:34]          Current inode: 150030    Stored inode: 142203
[10:17:34]          Current file modification time: 1396480332 (03-Apr-2014 01:12:12)
[10:17:34]          Stored file modification time : 1360359087 (08-Feb-2013 22:31:27)

os arquivos de log do apt me preocupam, eu censurei algumas informações. Aparentemente, em 03/04/2014 eu não instalei nada.

Start-Date: 2014-04-01  15:49:18
Commandline:  ***********
Install:  ***********
End-Date: 2014-04-01  15:49:29

Start-Date: 2014-04-08  14:03:52
Commandline:  ***********
Install:  ***********
End-Date: 2014-04-08  14:04:04

A propósito, penso que (espero) são falsos positivos [editar: não mais]. Talvez arquivos editados por algum processo do sistema e normalmente não gravados no arquivo .dat do rkhunter porque eu não atualizei. Eu vim aqui para encontrar alguma confirmação ou um pouco mais de paranoia.

    
por lese 18.04.2014 / 11:23

1 resposta

1

O hash do programa NÃO deve mudar se você não atualizar seu SSH. Além disso, mostra a hora em que o arquivo foi modificado (03-Abr-2014), portanto, se você não atualizou openssh packages, não é um falso positivo.

    
por 18.04.2014 / 11:41