web-dev-qa-db-ja.com

OSSEC HIDSによって検出されたファイル「egrep」のトロイの木馬バージョン

[〜#〜] ossec [〜#〜] (2.8.1)の最新の安定バージョンをインストールしました。また、電子メール通知も有効にしており、本日は電子メールでこのアラートを受け取りました。

OSSEC HIDS Notification.
2015 Apr 03 17:40:26

Received From: Bath-Towel->rootcheck
Rule: 510 fired (level 7) -> "Host-based anomaly detection event (rootcheck)."
Portion of the log(s):

Trojaned version of file '/bin/egrep' detected. Signature used: 'bash|^/bin/sh|file\.h|proc\.h|/dev/|^/bin/.*sh' (Generic).



 --END OF NOTIFICATION

これは心配する必要がありますか?その場合はどうすればよいですか?

情報更新:

これはファイルの内容です/bin/egrep

#!/bin/bash
grep=grep
case $0 in
  */*)
    dir=${0%/*}
    if test -x "$dir/grep"; then
      PATH=$dir:$PATH
      grep=grep
    fi;;
esac
exec $grep -E "$@"

OS情報:

Description:    Ubuntu 14.10
Release:    14.10
antivirusmalwaretrojanossec
2
user364819

一部の14.04サーバーにOSSECをインストールしていますが、そのような通知を受け取っていません。

それはUbuntu 14.04まで/bin/egrep[〜#〜] elf [〜#〜] 実行可能ファイルですが、14.10以降ではシェルスクリプトです。おそらくOSSECは、この変更を反映するようにまだ更新されていません。

2
Eric Carvalho