rkhunter我正在 Virtualbox 中的 Ubuntu 服务器 16.04 上进行测试。10 月 11 日,我收到一封电子邮件提醒rkhunter,邀请我“请检查这台机器,因为它可能已被感染”。
因此我进行了扫描rkhunter并发现以下结果:
$ sudo rkhunter -c --rwo
Warning: The file properties have changed:
File: /usr/bin/curl
Current hash: f025f2f2dca226c921b2b09da78b220656c098652d41c8654dc4853ff3fd1e5a
Stored hash : cf846b7f3f11fc8af6cf79a2bbad3c8314eec72c1425b49bc9e34cf85a5090bb
Current inode: 661569 Stored inode: 661888
Current file modification time: 1507203916 (05-Oct-2017 13:45:16)
Stored file modification time : 1478126766 (02-Nov-2016 23:46:06)
因此我决定检查一下curl包裹:
$ dpkg -S curl
$ echo $?
0
正如您所见,没有任何报告。
我读到serverfault 上的讨论其中建议检查哈希值变化是否是由于自动安全更新引起的。检查后我注意到从 2017-10-11 开始/var/log/apt/history.log有一个无人值守升级。 我想知道:为什么 rkhunter 报告的文件修改日期是 10 月 5 日,而升级是在 10 月 11 日进行的?curl
答案1
发生这种情况的原因是,您通过更新可执行文件,apt update && apt upgrade但是 rkhunter 的数据库没有相应更新。
要么做手动和:
sudo rkhunter --update --propupd
每次apt update && apt upgrade
或者自动地:
在/etc/rkhunter.conf集合中
PKGMGR='DPKG'
并在/etc/default/rkhunter集合中
APT_AUTOGEN="true"