我有一個 CentOS 機器,已經使用了大約一年了。它沒有任何非常重要的東西,而且有很多我無法親自保證的 PHP 程式碼,而且相當舊了。我意識到這是自找麻煩。
我做了我所知道的事情來強化 SSH 並限制通過 IPTables 等的訪問。許多看起來像是二進位檔案的重複項,是在幾個月內以每天 20 個左右的速度創建的:
-rw-r--r-- 1 root root 47024 Aug 7 2011 chage;4e3f01f7
-rw-r--r-- 1 root root 47024 Aug 7 2011 chage;4e3f1007
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f1e17
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f2c27
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f3a38
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f4846
其他具有類似情況的二進位檔案是 - newgrp、gpasswd、lastlog、dig、usleep 和 doexec。
最後的文件日期是 8 月 8 日,所以我沒有任何可以追溯到那麼遠的日誌。有人能幫助我了解這裡發生的事嗎?
答案1
我不能告訴你為什麼它正在發生,但是後面的數字;看起來很像時間戳記:
4e3f01f7 => Sun Aug 7 17:21:59 2011
4e3f1007 => Sun Aug 7 18:21:59 2011
4e3f1e17 => Sun Aug 7 19:21:59 2011
4e3f2c27 => Sun Aug 7 20:21:59 2011
4e3f3a38 => Sun Aug 7 21:22:00 2011
4e3f4846 => Sun Aug 7 22:21:58 2011
(自紀元以來的秒數,以十六進位表示)。事實上,它們幾乎正好相隔一分鐘,我懷疑這可能是一個 cron 作業?
它們的尺寸也相同。也許你應該檢查它們是否匹配md5sum?或者它們可以是同一個文件硬連結? (檢查 inode 編號stat)。