У меня есть CentOS box, который работает уже около года. На нем нет ничего очень важного, и там много PHP-кода, за который я не могу поручиться, и он довольно старый. Я понимаю, что это напрашивается на неприятности.
Я сделал все, что знал, чтобы укрепить SSH и ограничить доступ через IPTables и т. д. Сегодня я заметил много тревожных файлов в /usr/bin/ и /bin/. Много того, что выглядит как дубликаты двоичных файлов, созданных в течение пары месяцев со скоростью около 20 в день:
-rw-r--r-- 1 root root 47024 Aug 7 2011 chage;4e3f01f7
-rw-r--r-- 1 root root 47024 Aug 7 2011 chage;4e3f1007
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f1e17
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f2c27
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f3a38
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f4846
Другие двоичные файлы с похожими функциями: newgrp, gpasswd, lastlog, dig, usleep и doexec.
Последняя дата файла — 8 августа, так что у меня нет журналов за столь долгий период. Может ли кто-нибудь помочь мне понять, что здесь произошло?
решение1
Я не могу тебе сказатьпочемуэто происходит, но эти цифры после ;выглядят как временные метки:
4e3f01f7 => Sun Aug 7 17:21:59 2011
4e3f1007 => Sun Aug 7 18:21:59 2011
4e3f1e17 => Sun Aug 7 19:21:59 2011
4e3f2c27 => Sun Aug 7 20:21:59 2011
4e3f3a38 => Sun Aug 7 21:22:00 2011
4e3f4846 => Sun Aug 7 22:21:58 2011
(секунды с начала эпохи в шестнадцатеричном формате). Учитывая, что разница между ними составляет почти ровно минуту, я бы предположил, что это, возможно, задание cron?
Они также имеют одинаковый размер. Может быть, вам следует проверить, совпадают ли они с md5sum? или они могут быть одним и тем же файлом, связанным жесткой ссылкой? (проверьте номер inode в stat).