我上次的 rkhunter 扫描报告了一些值得检查的警告。我怀疑的主要原因是我在 (03-Apr-2014 01:12:12) ->AM 不在机器上
我用谷歌搜索了解我在问题标题中提到的两个文件的用途,但我没有找到非常有用的答案。谁能告诉我这些文件的目的是什么,也许还有为什么/何时它会被系统本身修改?
[10:17:11] Warning: The file properties have changed:
[10:17:11] File: /usr/sbin/sshd
[10:17:11] Current hash: 900e153506754ceb7b19f3a01a3ad5e36d43d958
[10:17:11] Stored hash : 55a1a63a46d84eb9d0322f96bd9a61f070e90698
[10:17:11] Current inode: 149998 Stored inode: 142248
[10:17:11] Current file modification time: 1396480332 (03-Apr-2014 01:12:12)
[10:17:11] Stored file modification time : 1360359087 (08-Feb-2013 22:31:27)
[10:17:34] Warning: The file properties have changed:
[10:17:34] File: /usr/bin/ssh
[10:17:34] Current hash: 60366d414c711a70f9e313f5ff26213ca513b565
[10:17:34] Stored hash : 1b410fb0de841737f963e1ee011989f155f41259
[10:17:34] Current inode: 150030 Stored inode: 142203
[10:17:34] Current file modification time: 1396480332 (03-Apr-2014 01:12:12)
[10:17:34] Stored file modification time : 1360359087 (08-Feb-2013 22:31:27)
apt 日志文件让我担心,我审查了一些信息。显然在 2014 年 4 月 3 日我没有安装任何东西。
Start-Date: 2014-04-01 15:49:18
Commandline: ***********
Install: ***********
End-Date: 2014-04-01 15:49:29
Start-Date: 2014-04-08 14:03:52
Commandline: ***********
Install: ***********
End-Date: 2014-04-08 14:04:04
顺便说一句,我认为(希望)它们是误报[编辑:不再是了]。可能是系统某个进程编辑的文件,通常不会记录在rkhunter的.dat文件中,因为我没有更新。我来这里是为了寻找一些证实或者更多的偏执。
答案1
如果您没有更新 SSH,则程序的哈希值不应更改。此外,它还向您显示文件修改的时间(2014 年 4 月 3 日),因此如果您没有更新openssh软件包,则这不是误报。
答案2
谷歌把我带到这里。我想我也被黑了。来自 rkhunter 的相同消息。这里有一些方法可以进一步分析。
可以肯定的是,您可以使用以下命令检查 md5sum
sudo cat /var/lib/dpkg/info/openssh-client.md5sums
md5sum /usr/bin/ssh
另一种方法是
dpkg --verify openssh-server
空就可以了,如果你看到??5?????? 你就有问题了/usr/sbin/sshd
您还可以安装 debsums,这样更容易检查
sudo apt-get install debsums
sudo debsums | grep -v OK
这是我的清单。我认为它仍然使用本地金额。如果可以使用官方的 debian 镜像来完成会更安全。有人知道该怎么做吗?
debsums: missing file /usr/include/openssl/x509_vfy.h (from libssl-dev:amd64 package)
debsums: missing file /usr/include/openssl/x509v3.h (from libssl-dev:amd64 package)
/usr/bin/scp FAILED
/usr/bin/sftp FAILED
/usr/bin/ssh FAILED
/usr/bin/ssh-add FAILED
/usr/bin/ssh-agent FAILED
/usr/bin/ssh-keygen FAILED
/usr/bin/ssh-keyscan FAILED
/usr/sbin/sshd FAILED
/usr/bin/rkhunter FAILED