我正在运行 CentOS 6.3。
我有一个工具可以监控系统二进制文件的 md5sum 哈希值,并在发生更改时通过电子邮件通知我。显然,每当我通过 运行系统更新时yum,此 md5sum 检查都会指示哈希值已更改。
今天早上,我醒来发现一封奇怪的电子邮件,发现 /usr/bin/gpg 和 co 已经发生了变化:
/usr/bin/gpg: FAILED
/usr/bin/gpg2: FAILED
/usr/bin/gpg-agent: FAILED
/usr/bin/gpgconf: FAILED
/usr/bin/gpg-connect-agent: FAILED
/usr/bin/gpg-error: FAILED
/usr/bin/gpgkey2ssh: FAILED
/usr/bin/gpgsplit: FAILED
/usr/bin/gpgv: FAILED
/usr/bin/gpgv2: FAILED
/sbin/cryptsetup: FAILED
我现在正在寻找实际包含这些二进制文件的包,以便我可以yum info在其上运行并对我的系统上的内容与我当前使用的 CentOS 存储库中当前可用的内容执行 md5sum 比较。
发送这封电子邮件时没有运行任何 cron 作业,因此我非常困惑除了安全漏洞之外,这怎么会发生。
然而,另一方面,这台服务器非常新(大约 2 周前),完全是最新的,在过去的 2 天内,我们已经将其投入生产。位于 IP 表顶部的应用程序防火墙正在监控日志、失败的登录尝试等...,并且这台机器上的所有服务都正常运行。如果真的存在安全漏洞,我会非常惊讶。
我在日志中没有发现任何可疑的东西。
所以...
- 哪个 CentOS 软件包包含 /usr/bin/gpg 二进制文件?每次我在 Google 上搜索时,我都会被人们使用 gpg 检查其他 RPM 上的 gpg 签名的结果淹没,所以我很难深入搜索。
- 有什么(理智的)理由让我认为该服务器尚未被攻破?
答案1
“rpm -qf <filename>” 将为您提供包含您指定的文件名的包的名称。
是的 - 恕我直言,如果它被攻破,将会有大量文件被更改。话虽如此,我不确定您是否会注意到它们 - 如果入侵足够复杂,您的警报脚本将被禁用和/或替换。