我安装了 OSSSEC 来检查每个文件是否已更改。但有时它会给我错误的警告和完整性校验,例如以下文件已更改。
我如何确保文件是由系统更改的而不是由病毒本身更改的?这非常令人困惑。可能文件实际上是由病毒更改的,而我只是忽略了它
它从 OSSSEC 日志中获取以下内容
Integrity checksum changed for: '/etc/passwd,v'
Integrity checksum changed for: '/etc/userdomains'
Integrity checksum changed for: '/etc/shadow.cache'
Integrity checksum changed for: '/etc/domainusers'
Integrity checksum changed for: '/etc/userplans,v
Integrity checksum changed for: '/etc/trueuserdomains'
Integrity checksum changed for: '/etc/proftpd/passwd.vhosts.cache
答案1
将文件与已知的良好备份进行比较。查看更改的内容,如果更改的内容与您所做的某项操作无关,则您可能需要警惕。
答案2
欢迎来到 Linux/Posix/Unix 的奇妙世界,这里只有少数病毒是作为 POC 创建的。实际上,没有 Linux 病毒在野外存在。这并不是说这些系统不能通过其他方式受到攻击 - 但计算机病毒实际上只是 MS-Windows 用户(以及 pre-unix MAC)的问题。
上面列出的所有文件都包含有关系统上配置的用户帐户的信息。如果您添加了任何用户(或在某些情况下更改了密码),那么这些文件将被修改。
基于主机的完整性检查 IDS 无法告知文件做了什么,也无法告知谁修改了它们 - 这就是为什么它会告诉您发生了什么变化,而不仅仅是告诉您文件损坏了。如上所述,如果您想知道文件是如何变化的,那么您需要知道文件做了什么。
我建议,如果您对系统的工作原理不太熟悉,请停止扫描配置和数据文件,并将签名检查限制在可执行文件和库上。但也要定期使用 rootkit 检查工具。