回顾最近的 tripwire 运行情况,大约一周前的一个晚上,tripwire 突然检测到 11042 个已更改的文件,这些文件全部发生了更改仅有的是块数,而不是大小、CRC32、MD5、inode 或其他任何方面。我在 tripwire 日志中检查到的所有以这种方式更改的文件都大了 8 个块。如果我忽略仅在块数上更改的文件,则所有其他更改都是我知道自己所做的预期更改,或日志文件更改等预期更改。
先说一下背景,这台服务器在 6 月 19 日突然出现故障,所以我更换了主板,但保留了磁盘。(磁盘都比主板新得多。)该系统运行的是 Fedora 23。6 月 20 日凌晨 3 点的 tripwire 运行没有发现任何此类差异。6 月 20 日,我再次打开电脑,更换了更换主板后无法正常工作的网卡。6 月 21 日凌晨 3 点的 tripwire 运行是第一个检测到所有块数发生变化的文件的运行。
rkhunter 没有抱怨任何事情,无论它值得与否。
考虑到对于有问题的文件,除了块数之外,绝对没有任何变化,并且所有类型的对象(文件、目录,甚至符号链接)都增加了 8 个块,我有理由确信这不是黑客行为。但我不确定这是良性的。符号链接怎么会从 0 个块增加到 8 个块?但一切似乎都运行正常。
什么原因导致这种情况?我应该担心吗?我最近的完整备份(rsync 到外部驱动器)是在 20 日晚上进行的,因此很可能是在发生任何更改之后。所有更改的文件都不在 /boot 或 /home 或 /var 中(所有这些都是独立的文件系统)。事实上,只有 / 上的文件以这种方式发生了更改。/ 文件系统是一个 raid 镜像,如果这很重要的话。