Я использую rkhunter 1.4.2 на CentOS 6.5.
Сообщение в /var/log/rkhunter.log:
Warning: The file properties have changed:
[09:40:35] File: /sbin/ip
[09:40:35] Current size: 247396 Stored size: 247300
[09:40:35] Current file modification time: 1415276490 (06-Nov-2014 07:21:30)
[09:40:35] Stored file modification time : 1401361583 (29-May-2014 07:06:23)
Я использовал ip -V и получил
ip -V
ip utility, iproute2-ss091226
что, по-видимому, подразумевает, что это часть пакета 2009 года. Я попытался переустановить iproute2 и получил следующий результат.
$ sudo yum install iproute2
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Install Process
Loading mirror speeds from cached hostfile
* atomic: www.atomicorp.com
* base: mirror.lug.udel.edu
* epel: mirror.nexcess.net
* extras: mirrors.lga7.us.voxel.net
* rpmforge: repoforge.mirror.constant.com
* updates: ftpmirror.your.org
No package iproute2 available.
Error: Nothing to do
Я получил MD5 для /sbin/ip следующим образом
$ md5sum /sbin/ip
f86d18c6c94096baf9dc6623e9fbe615 /sbin/ip
Поиск этого MD5 в Google не дал результатов, поэтому я не могу сказать, соответствует ли он легитимной версии /sbin/ip.
решение1
Рассматриваемый пакет отсутствует iprouteв iproute2CentOS.
Без включения архитектуры другим будет сложно проверить md5-сумму вашего исполняемого файла. Один из способов проверки — вручную скачать rpm с зеркал centos с машины, которой вы доверяете, распаковать его и посмотреть файлы.
Когда я делаю это для последних версий на mirror.centos.org (2.6.32-33), я получаю:
x86_64 2d08ea6c0e0e8360f7618ba549101fb8 /sbin/ip
i386 d9bea3a3fda11e9b3822f796601e75d0 /sbin/ip
Ни один из них не соответствует вашему. Если у вас есть опасения, вы, очевидно, захотите сбросить ядерную бомбу на машину с орбиты. Я подозреваю, что iproute недавно обновился. Посмотрите на дату пакета iproute здесь:
http://mirror.centos.org/centos/6/updates/x86_64/Packages/
Имеется пакет с последним изменением 06.11.2014 14:07.
Тот факт, что ваша md5sum для этого исполняемого файла не соответствует указанному выше, может означать, что (0) у вас скомпрометированный исполняемый файл, (1) вы не обновлены до версии, которую я проверил, (2) вы извлекли пакет с локального зеркала, где какой-то администратор пересобрал пакет с флагами компиляции, специфичными для сайта, (3) установка RPM прошла неправильно, и ваш исполняемый файл неверен из-за неудачной распаковки или какой-то другой ошибки. Или другие варианты, в которых я уверен.
Вы также можете попробовать rpm -V -f /sbin/ipпроверить файл по базе данных RPM. Однако, если у вас есть основания полагать, что машина была скомпрометирована, проведение анализа с помощью инструментов на той же машине также немного подозрительно, поскольку любой из них мог быть изменен, чтобы солгать вам.