我已经安装了最新稳定版本的操作系统安全评估中心(2.8.1),并且我还启用了电子邮件通知,今天我通过电子邮件收到了此警报:
OSSEC HIDS Notification.
2015 Apr 03 17:40:26
Received From: Bath-Towel->rootcheck
Rule: 510 fired (level 7) -> "Host-based anomaly detection event (rootcheck)."
Portion of the log(s):
Trojaned version of file '/bin/egrep' detected. Signature used: 'bash|^/bin/sh|file\.h|proc\.h|/dev/|^/bin/.*sh' (Generic).
--END OF NOTIFICATION
这是值得担心的事情吗?如果是的话我该怎么办?
信息更新:
这是该文件的内容/bin/egrep:
#!/bin/bash
grep=grep
case $0 in
*/*)
dir=${0%/*}
if test -x "$dir/grep"; then
PATH=$dir:$PATH
grep=grep
fi;;
esac
exec $grep -E "$@"
操作系统信息:
Description: Ubuntu 14.10
Release: 14.10
答案1
我在一些 14.04 服务器上安装了 OSSEC,但从未收到这样的通知。
事实证明,直到 Ubuntu /bin/egrep14.04极低频可执行文件,但在 14.10 及更高版本中它是一个 shell 脚本。OSSEC 可能尚未更新以反映此更改。