Tengo una caja CentOS que ha estado funcionando durante aproximadamente un año. No tiene nada muy importante y tiene mucho código PHP del que no puedo dar fe personalmente y es bastante antiguo. Me doy cuenta de que esto es buscar problemas.
Hice las cosas que sé para reforzar SSH y restringir el acceso a través de IPTables, etc. Hoy he notado muchos archivos preocupantes en /usr/bin/ y /bin/. Muchos de lo que parecen duplicados de archivos binarios, creados durante un período de un par de meses a razón de 20 aproximadamente por día:
-rw-r--r-- 1 root root 47024 Aug 7 2011 chage;4e3f01f7
-rw-r--r-- 1 root root 47024 Aug 7 2011 chage;4e3f1007
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f1e17
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f2c27
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f3a38
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f4846
Los otros binarios con procesos similares son: newgrp, gpasswd, lastlog, dig, usleep y doexec.
La última fecha del archivo es el 8 de agosto, por lo que no tengo ningún registro que se remonta a tan atrás. ¿Alguien puede ayudarme a comprender lo que ha sucedido aquí?
Respuesta1
no puedo decirtepor quéestá sucediendo, pero esos números después ;se parecen mucho a marcas de tiempo:
4e3f01f7 => Sun Aug 7 17:21:59 2011
4e3f1007 => Sun Aug 7 18:21:59 2011
4e3f1e17 => Sun Aug 7 19:21:59 2011
4e3f2c27 => Sun Aug 7 20:21:59 2011
4e3f3a38 => Sun Aug 7 21:22:00 2011
4e3f4846 => Sun Aug 7 22:21:58 2011
(segundos desde la época en hexadecimal). Por el hecho de que están casi exactamente con un minuto de diferencia, sospecho que tal vez se trata de un trabajo cron.
También son del mismo tamaño. ¿Quizás deberías comprobar si coinciden con md5sum? ¿O si incluso podrían ser el mismo archivo vinculado? (verifique el número de inodo en stat).