O hash do programa NÃO deve mudar se você não atualizar seu SSH. Além disso, mostra a hora em que o arquivo foi modificado (03-Abr-2014), portanto, se você não atualizou openssh
packages, não é um falso positivo.
Minha última varredura rkhunter relatou alguns avisos que merecem ser verificados. A principal razão para o meu suspeito é que eu não estava na máquina em (03-Abr-2014 01:12:12) - > AM
Eu pesquisei para saber qual é o propósito dos dois arquivos que mencionei no título da questão, mas não encontrei respostas muito úteis. Alguém pode me dizer qual é o objetivo desses arquivos, e talvez também porque / quando seria modificado pelo próprio sistema?
[10:17:11] Warning: The file properties have changed:
[10:17:11] File: /usr/sbin/sshd
[10:17:11] Current hash: 900e153506754ceb7b19f3a01a3ad5e36d43d958
[10:17:11] Stored hash : 55a1a63a46d84eb9d0322f96bd9a61f070e90698
[10:17:11] Current inode: 149998 Stored inode: 142248
[10:17:11] Current file modification time: 1396480332 (03-Apr-2014 01:12:12)
[10:17:11] Stored file modification time : 1360359087 (08-Feb-2013 22:31:27)
[10:17:34] Warning: The file properties have changed:
[10:17:34] File: /usr/bin/ssh
[10:17:34] Current hash: 60366d414c711a70f9e313f5ff26213ca513b565
[10:17:34] Stored hash : 1b410fb0de841737f963e1ee011989f155f41259
[10:17:34] Current inode: 150030 Stored inode: 142203
[10:17:34] Current file modification time: 1396480332 (03-Apr-2014 01:12:12)
[10:17:34] Stored file modification time : 1360359087 (08-Feb-2013 22:31:27)
os arquivos de log do apt me preocupam, eu censurei algumas informações. Aparentemente, em 03/04/2014 eu não instalei nada.
Start-Date: 2014-04-01 15:49:18
Commandline: ***********
Install: ***********
End-Date: 2014-04-01 15:49:29
Start-Date: 2014-04-08 14:03:52
Commandline: ***********
Install: ***********
End-Date: 2014-04-08 14:04:04
A propósito, penso que (espero) são falsos positivos [editar: não mais]. Talvez arquivos editados por algum processo do sistema e normalmente não gravados no arquivo .dat do rkhunter porque eu não atualizei. Eu vim aqui para encontrar alguma confirmação ou um pouco mais de paranoia.
Tags ssh process sshd debian chkrootkit