単一のファイルが変更されました:侵入または破損?
rkhunterは、仮想サーバー(netstatバイナリ)での単一ファイルの変更を報告しました。他の警告は報告されませんでした。変更はパッケージのアップグレードの結果ではありませんでした(私はそれを再インストールし、チェックサムは以前のように戻っています)。
これがファイルの破損なのか侵入なのか疑問に思います。侵入によって、rkhunterが監視している他の多くのファイルが変更されたと思います(または、侵入者がrkhunterのデータベースにアクセスできた場合は変更されませんでした)。
両方のバイナリをobjdump -dで逆アセンブルし、差分をここに保存しました: https://Gist.github.com/3972886
objdump -sで生成された完全なダンプ差分はここにあります: https://Gist.github.com/3972937
ファイルの破損は、このような小さなブロックではなく、大きなブロックまたは単一ビットのいずれかを変更したと思います。
これらの変更は疑わしいように見えますか?どうすればもっと調査できますか?
システムはDebianSqueezeを実行しています。
私はそれらのいくつかをスポットチェックしました、そしてそれらはすべてシングルビットエラーのようです。この時点で、ハードドライブの交換、RAID/ZFSの使用などを検討します。
これは侵入ではなく、ある種のハードウェアエラーであることに同意します。
また、失敗したRAMスティックがあり、ホストサーバーでmemtest86を実行するかどうかも検討します-シングルビットエラーも非ECC RAMエラー。ECCRAMがある場合は、これを除外できます(すべてのサーバーは、ECC RAMもちろん、できればZFSを使用してRAMおよびディスクの破損を検出する必要があります) )。
ディスクコントローラエラーの可能性もあります。
一般に、ログでコントローラーとディスクのエラーをチェックし、ビットフリッピングの原因を特定することをお勧めします。これは1つのディスクのみである場合でも、RAM sticks、等.
データブロックまたはファイルのチェックサムを実行するバックアップツールがある場合、それはZFSのように機能して、この単一のファイルよりも広範囲にわたる破損を検出します。
これが重要なサーバーである場合は、RAMとディスクを交換するだけで簡単に選択でき、重要ではないシステムでオフラインでテストできます。
CERN研究からのいくつかの背景: http://storagemojo.com/2007/09/19/cerns-data-corruption-research/