最近在Linux机器上安装了OSSEC进行测试。
大多数结果都在预期之内,但是昨天我收到了电子邮件,其中包含许多有关文件(例如 /usr/bin/whoami /usr/bin/md5sum /usr/bin/ls)的完整性校验和发生变化的通知,以及大约 50 个类似文件
由于我没有安装这些文件的任何新版本,我如何找出导致完整性校验和在我安装 OSSEC 程序两天后发生变化的原因?
尤里卡
答案1
原因有二:
- 你确实被黑客攻击了
- 预链接已启用
您可以通过编辑 /etc/sysconfig/prelink 来禁用预链接:
PRELINKING=yes
到:
PRELINKING=no
并运行:
prelink -ua