我在 CentOS 6.5 上使用 rkhunter 1.4.2。
/var/log/rkhunter.log 中的一条消息是
Warning: The file properties have changed:
[09:40:35] File: /sbin/ip
[09:40:35] Current size: 247396 Stored size: 247300
[09:40:35] Current file modification time: 1415276490 (06-Nov-2014 07:21:30)
[09:40:35] Stored file modification time : 1401361583 (29-May-2014 07:06:23)
我使用 ip -V 并得到
ip -V
ip utility, iproute2-ss091226
这似乎暗示它是 2009 年软件包的一部分。我尝试重新安装 iproute2 并得到以下结果。
$ sudo yum install iproute2
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Install Process
Loading mirror speeds from cached hostfile
* atomic: www.atomicorp.com
* base: mirror.lug.udel.edu
* epel: mirror.nexcess.net
* extras: mirrors.lga7.us.voxel.net
* rpmforge: repoforge.mirror.constant.com
* updates: ftpmirror.your.org
No package iproute2 available.
Error: Nothing to do
我得到/sbin/ip的MD5如下
$ md5sum /sbin/ip
f86d18c6c94096baf9dc6623e9fbe615 /sbin/ip
谷歌搜索 MD5 没有结果,所以我无法判断它是否对应于 /sbin/ip 的合法版本。
答案1
有问题的软件包不在iprouteCentOSiproute2上。
如果不包含架构,其他人很难验证您的可执行文件的 md5 和。一种检查方法是从您信任的机器上手动从 centos 镜像中下载 rpm,解压它,然后查看文件。
当我对mirror.centos.org (2.6.32-33) 上的最新版本执行此操作时,我得到:
x86_64 2d08ea6c0e0e8360f7618ba549101fb8 /sbin/ip
i386 d9bea3a3fda11e9b3822f796601e75d0 /sbin/ip
两者都不符合你的。如果你有顾虑,你显然可能想用核武器将这台机器从轨道上炸掉。我的预感是 iproute 最近更新了。在这里查看 iproute 包的日期:
http://mirror.centos.org/centos/6/updates/x86_64/Packages/
有一个包的最后修改时间为 2014 年 11 月 6 日 14:07。
事实上,您的此可执行文件的 md5sum 与上述内容不匹配,这可能意味着 (0) 您的可执行文件已被盗用,(1) 您没有更新到我检查的版本,(2) 您从本地镜像中提取了某些管理员使用特定于站点的编译标志重建了软件包,(3) RPM 安装出错,并且由于解包失败或其他错误,您的可执行文件出错。或者我确定还有其他选择。
您还可以尝试 rpm -V -f /sbin/ip根据 RPM 数据库验证该文件。但是,如果您有理由相信机器已受到损害,那么使用同一台机器上的工具对其进行分析也有点可疑,因为其中任何一个都可能被修改以欺骗您。