如何知道文件 md5 是否被病毒或系统本身更改 centos

如何知道文件 md5 是否被病毒或系统本身更改 centos

我安装了 OSSSEC 来检查每个文件是否已更改。但有时它会给我错误的警告和完整性校验,例如以下文件已更改。

我如何确保文件是由系统更改的而不是由病毒本身更改的?这非常令人困惑。可能文件实际上是由病毒更改的,而我只是忽略了它

它从 OSSSEC 日志中获取以下内容

Integrity checksum changed for: '/etc/passwd,v'
Integrity checksum changed for: '/etc/userdomains'

Integrity checksum changed for: '/etc/shadow.cache'
Integrity checksum changed for: '/etc/domainusers'
Integrity checksum changed for: '/etc/userplans,v
Integrity checksum changed for: '/etc/trueuserdomains'
Integrity checksum changed for: '/etc/proftpd/passwd.vhosts.cache

答案1

将文件与已知的良好备份进行比较。查看更改的内容,如果更改的内容与您所做的某项操作无关,则您可能需要警惕。

答案2

欢迎来到 Linux/Posix/Unix 的奇妙世界,这里只有少数病毒是作为 POC 创建的。实际上,没有 Linux 病毒在野外存在。这并不是说这些系统不能通过其他方式受到攻击 - 但计算机病毒实际上只是 MS-Windows 用户(以及 pre-unix MAC)的问题。

上面列出的所有文件都包含有关系统上配置的用户帐户的信息。如果您添加了任何用户(或在某些情况下更改了密码),那么这些文件将被修改。

基于主机的完整性检查 IDS 无法告知文件做了什么,也无法告知谁修改了它们 - 这就是为什么它会告诉您发生了什么变化,而不仅仅是告诉您文件损坏了。如上所述,如果您想知道文件是如何变化的,那么您需要知道文件做了什么。

我建议,如果您对系统的工作原理不太熟悉,请停止扫描配置和数据文件,并将签名检查限制在可执行文件和库上。但也要定期使用 rootkit 检查工具。

相关内容