我在 CentOS 6.5 上使用 rkhunter 1.4.2。
/var/log/rkhunter.log 中的一則訊息是
Warning: The file properties have changed:
[09:40:35] File: /sbin/ip
[09:40:35] Current size: 247396 Stored size: 247300
[09:40:35] Current file modification time: 1415276490 (06-Nov-2014 07:21:30)
[09:40:35] Stored file modification time : 1401361583 (29-May-2014 07:06:23)
我使用 ip -V 並得到
ip -V
ip utility, iproute2-ss091226
這似乎暗示它是 2009 年軟體包的一部分。
$ sudo yum install iproute2
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Install Process
Loading mirror speeds from cached hostfile
* atomic: www.atomicorp.com
* base: mirror.lug.udel.edu
* epel: mirror.nexcess.net
* extras: mirrors.lga7.us.voxel.net
* rpmforge: repoforge.mirror.constant.com
* updates: ftpmirror.your.org
No package iproute2 available.
Error: Nothing to do
我得到/sbin/ip的MD5如下
$ md5sum /sbin/ip
f86d18c6c94096baf9dc6623e9fbe615 /sbin/ip
Google搜尋 MD5 沒有結果,所以我無法判斷它是否對應於 /sbin/ip 的合法版本。
答案1
有問題的軟體包不在iprouteCentOSiproute2上。
如果不包含架構,其他人很難驗證您的可執行檔的 md5 和。一種檢查方法是從您信任的機器上手動從 centos 鏡像中下載 rpm,解壓縮它,然後查看檔案。
當我對mirror.centos.org (2.6.32-33) 上的最新版本執行此操作時,我得到:
x86_64 2d08ea6c0e0e8360f7618ba549101fb8 /sbin/ip
i386 d9bea3a3fda11e9b3822f796601e75d0 /sbin/ip
兩者都不符合你的。如果你有顧慮,你顯然可能想用核武將這台機器從軌道上炸掉。我的預感是 iproute 最近更新了。在這裡查看 iproute 套件的日期:
http://mirror.centos.org/centos/6/updates/x86_64/Packages/
有一個包的最後修改時間為 2014 年 11 月 6 日 14:07。
事實上,您的此可執行檔的md5sum 與上述內容不匹配,這可能意味著(0) 您的可執行檔已洩露,(1) 您沒有更新到我檢查的版本,(2) 您從在本地鏡像中提取某些管理員使用特定於站點的編譯標誌重建了軟體包,(3) RPM 安裝出錯,並且由於解包失敗或其他錯誤,您的可執行檔出錯。或者我確定還有其他選擇。
您也可以嘗試 rpm -V -f /sbin/ip根據 RPM 資料庫驗證該文件。但是,如果您有理由相信機器已受到損害,那麼使用同一台機器上的工具對其進行分析也有點可疑,因為其中任何一個都可能被修改以欺騙您。