sudo rkhunter --update --propupd
deve ser executado após qualquer atualização do apt automaticamente ou manualmente
Estou testando rkhunter em um servidor Ubuntu 16.04 no Virtualbox.
Recebi um alerta de email por rkhunter no dia 11 de outubro, convidando-me a "Por favor, inspecione esta máquina, porque ela pode estar infectada".
Então fiz uma varredura com rkhunter e encontrei o seguinte resultado:
$ sudo rkhunter -c --rwo
Warning: The file properties have changed:
File: /usr/bin/curl
Current hash: f025f2f2dca226c921b2b09da78b220656c098652d41c8654dc4853ff3fd1e5a
Stored hash : cf846b7f3f11fc8af6cf79a2bbad3c8314eec72c1425b49bc9e34cf85a5090bb
Current inode: 661569 Stored inode: 661888
Current file modification time: 1507203916 (05-Oct-2017 13:45:16)
Stored file modification time : 1478126766 (02-Nov-2016 23:46:06)
Então, decidi verificar o curl package:
$ dpkg -S curl
$ echo $?
0
Como você pode ver, nada foi relatado.
Eu li uma discussão em serverfault onde foi sugerido para verificar se a mudança de hash era devido a uma atualização de segurança automática.
Verificando /var/log/apt/history.log notei que houve uma atualização automática de curl a partir de 2017-10-11.
Eu me pergunto: por que rkhunter relata 05 de outubro como a data de modificação do arquivo enquanto a atualização foi feita em 11 de outubro?
sudo rkhunter --update --propupd
deve ser executado após qualquer atualização do apt automaticamente ou manualmente