CentOS 6.5에서 rkhunter 1.4.2를 사용하고 있습니다.
/var/log/rkhunter.log의 메시지는 다음과 같습니다.
Warning: The file properties have changed:
[09:40:35] File: /sbin/ip
[09:40:35] Current size: 247396 Stored size: 247300
[09:40:35] Current file modification time: 1415276490 (06-Nov-2014 07:21:30)
[09:40:35] Stored file modification time : 1401361583 (29-May-2014 07:06:23)
나는 ip -V를 사용했고
ip -V
ip utility, iproute2-ss091226
이는 2009년 패키지의 일부임을 암시하는 것 같습니다. iproute2를 다시 설치하려고 시도했고 다음과 같은 결과를 얻었습니다.
$ sudo yum install iproute2
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Install Process
Loading mirror speeds from cached hostfile
* atomic: www.atomicorp.com
* base: mirror.lug.udel.edu
* epel: mirror.nexcess.net
* extras: mirrors.lga7.us.voxel.net
* rpmforge: repoforge.mirror.constant.com
* updates: ftpmirror.your.org
No package iproute2 available.
Error: Nothing to do
다음과 같이 /sbin/ip에 대한 MD5를 얻었습니다.
$ md5sum /sbin/ip
f86d18c6c94096baf9dc6623e9fbe615 /sbin/ip
해당 MD5에 대한 Google 검색에서는 결과가 나오지 않았으므로 /sbin/ip의 합법적인 버전에 해당하는지 알 수 없습니다.
답변1
문제의 패키지가 CentOS에 iproute없습니다 .iproute2
아키텍처를 포함하지 않으면 다른 사람들이 실행 파일의 md5 합계를 확인하기가 어렵습니다. 확인하는 한 가지 방법은 신뢰할 수 있는 시스템에서 수동으로 centos 미러에서 rpm을 끌어 내려 압축을 풀고 파일을 보는 것입니다.
Mirror.centos.org(2.6.32-33)의 최신 버전에 대해 이 작업을 수행하면 다음과 같은 결과가 나타납니다.
x86_64 2d08ea6c0e0e8360f7618ba549101fb8 /sbin/ip
i386 d9bea3a3fda11e9b3822f796601e75d0 /sbin/ip
어느 쪽도 당신의 것과 일치하지 않습니다. 우려되는 점이 있다면 분명히 궤도에서 기계에 핵무기를 발사하고 싶을 수도 있습니다. 내 직감은 iproute가 최근에 업데이트되었다는 것입니다. 여기서 iproute 패키지의 날짜를 살펴보면 다음과 같습니다.
http://mirror.centos.org/centos/6/updates/x86_64/Packages/
마지막으로 수정된 시간이 2014년 11월 6일 14:07인 패키지가 있습니다.
이 실행 파일에 대한 md5sum이 위와 일치하지 않는다는 사실은 (0) 손상된 실행 파일이 있고, (1) 내가 확인한 버전으로 업데이트되지 않았으며, (2) 로컬 미러에서 가져온 것을 의미할 수 있습니다. 일부 관리자는 사이트별 컴파일 플래그를 사용하여 패키지를 다시 빌드했습니다. (3) 압축 풀기 실패 또는 기타 오류로 인해 RPM 설치가 잘못되었고 실행 파일이 잘못되었습니다. 아니면 다른 옵션도 있다고 확신합니다.
rpm -V -f /sbin/ipRPM 데이터베이스에 대해 파일을 확인할 수도 있습니다 . 그러나 시스템이 손상되었다고 믿을 만한 이유가 있는 경우 동일한 시스템의 도구를 사용하여 분석하는 것도 약간 의심스럽습니다. 왜냐하면 그 중 하나가 수정되어 거짓말을 할 수 있기 때문입니다.