我们有 logwatch 和 aide 文件。我们想知道如何知道是否发生了入侵,因为该服务器有一段时间没有活动。我们在 aide 文件中发现了很多这样的条目。这是否意味着发生了一些错误?
File /etc/networks in databases has different attributes, 10020021d,20021d
File /etc/dnsmasq.conf in databases has different attributes, 10020021d,20021d
File /etc/exports in databases has different attributes, 340205bbd,240205bbd
File /etc/cgrules.conf in databases has different attributes, 10020021d,20021d
File /etc/autofs_ldap_auth.conf in databases has different attributes, 10020021d,20021d
答案1
AIDE 只能指出已更改的文件,但无法知道为什么这些文件已经改变。这可能是入侵,但也可能只是软件更新。
您需要浏览 AIDE 报告列表,并针对每个文件找出为什么它改变了,或者什么已经改变。我首先会查看一个模式 - 例如,如果配置文件和相应的二进制文件和手册页都已更新,则很可能是软件更新。然后确保您考虑了软件更新,因为它可能是预期的软件更新,也可能是黑客用包含后门的软件包替换了软件包。查看 yum 日志文件等,了解相应更新发生的时间。
同样,打开配置文件并确保值是正确的(请记住,有些黑客很难用肉眼发现!)