Ich verwende rkhunter 1.4.2 auf CentOS 6.5.
Eine Nachricht in /var/log/rkhunter.log ist
Warning: The file properties have changed:
[09:40:35] File: /sbin/ip
[09:40:35] Current size: 247396 Stored size: 247300
[09:40:35] Current file modification time: 1415276490 (06-Nov-2014 07:21:30)
[09:40:35] Stored file modification time : 1401361583 (29-May-2014 07:06:23)
Ich habe ip -V verwendet und bekam
ip -V
ip utility, iproute2-ss091226
was darauf hindeutet, dass es Teil eines Pakets aus dem Jahr 2009 ist. Ich habe versucht, iproute2 neu zu installieren und habe das folgende Ergebnis erhalten.
$ sudo yum install iproute2
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Install Process
Loading mirror speeds from cached hostfile
* atomic: www.atomicorp.com
* base: mirror.lug.udel.edu
* epel: mirror.nexcess.net
* extras: mirrors.lga7.us.voxel.net
* rpmforge: repoforge.mirror.constant.com
* updates: ftpmirror.your.org
No package iproute2 available.
Error: Nothing to do
Den MD5 für /sbin/ip habe ich wie folgt erhalten
$ md5sum /sbin/ip
f86d18c6c94096baf9dc6623e9fbe615 /sbin/ip
Eine Google-Suche nach diesem MD5 hat keine Ergebnisse ergeben, daher kann ich nicht sagen, ob es einer legitimen Version von /sbin/ip entspricht.
Antwort1
Das betreffende Paket ist iproutenicht iproute2auf CentOS.
Ohne Angabe der Architektur ist es für andere schwierig, die MD5-Summe Ihrer ausführbaren Datei zu überprüfen. Eine Möglichkeit zur Überprüfung besteht darin, von einem Computer Ihres Vertrauens aus das RPM manuell von den CentOS-Mirrors herunterzuladen, es zu entpacken und sich die Dateien anzusehen.
Wenn ich dies für die neuesten Versionen auf mirror.centos.org (2.6.32-33) mache, erhalte ich:
x86_64 2d08ea6c0e0e8360f7618ba549101fb8 /sbin/ip
i386 d9bea3a3fda11e9b3822f796601e75d0 /sbin/ip
Keines von beiden trifft auf Sie zu. Wenn Sie Bedenken haben, sollten Sie die Maschine offensichtlich aus dem Orbit sprengen. Ich vermute, dass iproute vor Kurzem aktualisiert wurde. Hier sehen Sie das Datum für das iproute-Paket:
http://mirror.centos.org/centos/6/updates/x86_64/Packages/
Es gibt ein Paket mit der letzten Änderungszeit vom 06.11.2014, 14:07 Uhr.
Die Tatsache, dass Ihre MD5-Summe für diese ausführbare Datei nicht mit der obigen übereinstimmt, könnte bedeuten, dass (0) Sie eine kompromittierte ausführbare Datei haben, (1) Sie nicht auf die von mir geprüfte Version aktualisiert sind, (2) Sie von einem lokalen Spiegel heruntergeladen haben, wo ein Administrator das Paket mit standortspezifischen Kompilierungsflags neu erstellt hat, (3) die RPM-Installation fehlgeschlagen ist und Ihre ausführbare Datei aufgrund eines fehlgeschlagenen Entpackens oder eines anderen Fehlers falsch ist. Oder andere Optionen, da bin ich mir sicher.
Sie können auch versuchen, rpm -V -f /sbin/ipdie Datei anhand der RPM-Datenbank zu überprüfen. Wenn Sie jedoch Grund zur Annahme haben, dass der Computer kompromittiert wurde, ist eine Analyse mit Tools auf demselben Computer ebenfalls etwas fragwürdig, da jedes davon so verändert worden sein könnte, dass es Sie anlügt.