Estoy usando rkhunter 1.4.2 en CentOS 6.5.
Un mensaje, en /var/log/rkhunter.log es
Warning: The file properties have changed:
[09:40:35] File: /sbin/ip
[09:40:35] Current size: 247396 Stored size: 247300
[09:40:35] Current file modification time: 1415276490 (06-Nov-2014 07:21:30)
[09:40:35] Stored file modification time : 1401361583 (29-May-2014 07:06:23)
Usé ip -V y obtuve
ip -V
ip utility, iproute2-ss091226
lo que parece implicar que es parte de un paquete de 2009. Intenté reinstalar iproute2 y obtuve el siguiente resultado.
$ sudo yum install iproute2
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Install Process
Loading mirror speeds from cached hostfile
* atomic: www.atomicorp.com
* base: mirror.lug.udel.edu
* epel: mirror.nexcess.net
* extras: mirrors.lga7.us.voxel.net
* rpmforge: repoforge.mirror.constant.com
* updates: ftpmirror.your.org
No package iproute2 available.
Error: Nothing to do
Obtuve el MD5 para /sbin/ip de la siguiente manera
$ md5sum /sbin/ip
f86d18c6c94096baf9dc6623e9fbe615 /sbin/ip
Una búsqueda en Google de ese MD5 no arrojó resultados, por lo que no puedo decir si corresponde a una versión legítima de /sbin/ip.
Respuesta1
El paquete en cuestión iprouteno está iproute2en CentOS.
Sin incluir la arquitectura, es difícil para otros verificar la suma md5 de su ejecutable. Una forma de comprobarlo es, desde una máquina en la que confíe, bajar manualmente las rpm de los espejos centos, descomprimirlas y mirar los archivos.
Cuando hago esto para las últimas versiones en mirror.centos.org (2.6.32-33), obtengo:
x86_64 2d08ea6c0e0e8360f7618ba549101fb8 /sbin/ip
i386 d9bea3a3fda11e9b3822f796601e75d0 /sbin/ip
Ninguno de los cuales coincide con el tuyo. Si tiene dudas, es posible que desee bombardear la máquina desde la órbita. Mi corazonada es que iproute se actualizó recientemente. Mirando la fecha del paquete iproute aquí:
http://mirror.centos.org/centos/6/updates/x86_64/Packages/
Hay un paquete con hora de última modificación del 6 de noviembre de 2014 a las 14:07.
El hecho de que su md5sum para este ejecutable no coincida con lo anterior podría significar que (0) tiene un ejecutable comprometido, (1) no está actualizado a la versión que verifiqué, (2) lo extrajo de un espejo local donde algún administrador reconstruyó el paquete con indicadores de compilación específicos del sitio, (3) la instalación de RPM salió mal y su ejecutable es incorrecto debido a un error al descomprimirlo o algún otro error. U otras opciones, estoy seguro.
También puede intentar rpm -V -f /sbin/ipverificar el archivo con la base de datos RPM. Sin embargo, si tiene una razón para creer que la máquina estuvo comprometida, analizarla con herramientas en esa misma máquina también es un poco sospechoso, ya que cualquiera de ellas podría haber sido modificada para mentirle.