Estou usando o rkhunter 1.4.2 no CentOS 6.5.
Uma mensagem, em /var/log/rkhunter.log é
Warning: The file properties have changed:
[09:40:35] File: /sbin/ip
[09:40:35] Current size: 247396 Stored size: 247300
[09:40:35] Current file modification time: 1415276490 (06-Nov-2014 07:21:30)
[09:40:35] Stored file modification time : 1401361583 (29-May-2014 07:06:23)
Eu usei ip -V e consegui
ip -V
ip utility, iproute2-ss091226
o que parece implicar que faz parte de um pacote de 2009. Tentei reinstalar o iproute2 e obtive o seguinte resultado.
$ sudo yum install iproute2
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Install Process
Loading mirror speeds from cached hostfile
* atomic: www.atomicorp.com
* base: mirror.lug.udel.edu
* epel: mirror.nexcess.net
* extras: mirrors.lga7.us.voxel.net
* rpmforge: repoforge.mirror.constant.com
* updates: ftpmirror.your.org
No package iproute2 available.
Error: Nothing to do
Eu obtive o MD5 para /sbin/ip da seguinte maneira
$ md5sum /sbin/ip
f86d18c6c94096baf9dc6623e9fbe615 /sbin/ip
Uma pesquisa no Google por esse MD5 não produziu resultados, então não posso dizer se corresponde a uma versão legítima de/sbin/ip.
Responder1
O pacote em questão iproutenão está iproute2no CentOS.
Sem incluir a arquitetura, é difícil para outros verificarem a soma md5 do seu executável. Uma maneira de verificar é, em uma máquina em que você confia, baixar manualmente o rpm dos espelhos centos, descompactá-lo e examinar os arquivos.
Quando faço isso para as versões mais recentes em mirror.centos.org (2.6.32-33), recebo:
x86_64 2d08ea6c0e0e8360f7618ba549101fb8 /sbin/ip
i386 d9bea3a3fda11e9b3822f796601e75d0 /sbin/ip
Nenhum dos quais corresponde ao seu. Se você tiver dúvidas, obviamente você pode querer tirar a máquina da órbita. Meu palpite é que o iproute foi atualizado recentemente. Olhando a data do pacote iproute aqui:
http://mirror.centos.org/centos/6/updates/x86_64/Packages/
Existe um pacote com o horário da última modificação em 06 de novembro de 2014 às 14h07.
O fato de seu md5sum para este executável não corresponder ao acima pode significar que (0) você tem um executável comprometido, (1) você não está atualizado para a versão que verifiquei, (2) você extraiu de um espelho local onde algum administrador reconstruiu o pacote com sinalizadores de compilação específicos do site, (3) a instalação do RPM deu errado e seu executável está errado devido a uma falha na descompactação ou algum outro erro. Ou outras opções, tenho certeza.
Você também pode tentar rpm -V -f /sbin/ipverificar o arquivo no banco de dados RPM. No entanto, se você tem motivos para acreditar que a máquina foi comprometida, fazer uma análise dela com ferramentas dessa mesma máquina também é um pouco suspeito, já que qualquer uma delas pode ter sido modificada para mentir para você.