Eu tenho uma caixa CentOS que está em funcionamento há cerca de um ano. Não contém nada de muito importante e contém muitos códigos PHP que não posso garantir pessoalmente e que são bastante antigos. Eu percebo que isso está procurando problemas.
Eu fiz as coisas que conheço para proteger o SSH e restringir o acesso via IPTables etc. Hoje notei muitos arquivos preocupantes em /usr/bin/ e /bin/. Muitas coisas que parecem duplicatas de binários, criadas ao longo de alguns meses, a uma taxa de cerca de 20 por dia:
-rw-r--r-- 1 root root 47024 Aug 7 2011 chage;4e3f01f7
-rw-r--r-- 1 root root 47024 Aug 7 2011 chage;4e3f1007
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f1e17
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f2c27
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f3a38
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f4846
Os outros binários semelhantes são - newgrp, gpasswd, lastlog, dig, usleep e doexec.
A data do último arquivo é 8 de agosto, então não tenho nenhum registro tão antigo. Alguém pode me ajudar a entender o que aconteceu aqui?
Responder1
Eu não posso te contarpor queestá acontecendo, mas esses números depois ;se parecem muito com carimbos de data e hora:
4e3f01f7 => Sun Aug 7 17:21:59 2011
4e3f1007 => Sun Aug 7 18:21:59 2011
4e3f1e17 => Sun Aug 7 19:21:59 2011
4e3f2c27 => Sun Aug 7 20:21:59 2011
4e3f3a38 => Sun Aug 7 21:22:00 2011
4e3f4846 => Sun Aug 7 22:21:58 2011
(segundos desde a época em hexadecimal). Pelo fato de eles estarem separados por quase exatamente um minuto, eu suspeito que talvez seja um cron job.
Eles também são do mesmo tamanho. Talvez você deva verificar se eles combinam com md5sum? ou se eles poderiam ser o mesmo arquivo com link físico? (verifique o número do inode em stat).