CentOS 6.5 で rkhunter 1.4.2 を使用しています。
/var/log/rkhunter.logのメッセージは
Warning: The file properties have changed:
[09:40:35] File: /sbin/ip
[09:40:35] Current size: 247396 Stored size: 247300
[09:40:35] Current file modification time: 1415276490 (06-Nov-2014 07:21:30)
[09:40:35] Stored file modification time : 1401361583 (29-May-2014 07:06:23)
ip -Vを使ってみたところ
ip -V
ip utility, iproute2-ss091226
これは、2009 年のパッケージの一部であることを意味しているようです。iproute2 を再インストールしようとしたところ、次の結果が得られました。
$ sudo yum install iproute2
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Install Process
Loading mirror speeds from cached hostfile
* atomic: www.atomicorp.com
* base: mirror.lug.udel.edu
* epel: mirror.nexcess.net
* extras: mirrors.lga7.us.voxel.net
* rpmforge: repoforge.mirror.constant.com
* updates: ftpmirror.your.org
No package iproute2 available.
Error: Nothing to do
/sbin/ipのMD5は次のように取得しました
$ md5sum /sbin/ip
f86d18c6c94096baf9dc6623e9fbe615 /sbin/ip
その MD5 を Google で検索しても結果は得られなかったため、/sbin/ip の正規バージョンに対応しているかどうかはわかりません。
答え1
問題のパッケージは CentOS 上にありませiprouteんiproute2。
アーキテクチャを含めないと、他の人が実行可能ファイルの md5 サムを検証するのは困難です。確認する方法の 1 つは、信頼できるマシンから Centos ミラーから rpm を手動でプルダウンし、解凍してファイルを確認することです。
mirror.centos.org の最新バージョン (2.6.32-33) でこれを実行すると、次のようになります。
x86_64 2d08ea6c0e0e8360f7618ba549101fb8 /sbin/ip
i386 d9bea3a3fda11e9b3822f796601e75d0 /sbin/ip
どちらもあなたのものとは一致しません。心配な場合は、明らかにマシンを軌道上から核爆弾で破壊したほうがよいでしょう。私の直感では、iproute は最近更新されました。iproute パッケージの日付をここで見てみましょう:
http://mirror.centos.org/centos/6/updates/x86_64/Packages/
最終更新日時が 2014 年 11 月 6 日 14:07 のパッケージがあります。
この実行ファイルの md5sum が上記と一致しないということは、(0) 実行ファイルが侵害されている、(1) 私が確認したバージョンに更新されていない、(2) 管理者がサイト固有のコンパイル フラグを使用してパッケージを再構築したローカル ミラーから取得した、(3) RPM のインストールが失敗し、解凍の失敗またはその他のエラーが原因で実行ファイルが間違っている、などの可能性が考えられます。あるいは、他にも考えられる可能性があります。
RPM データベースに対してファイルを検証することもできます rpm -V -f /sbin/ip。ただし、マシンが侵害されたと信じる理由がある場合、同じマシン上のツールを使用して分析を行うことも、ツールのいずれかが改ざんされて不正操作されている可能性があるため、少し疑わしいです。