web-dev-qa-db-ja.com

rkhunter / usr / bin / ssh && / usr / sbin / sshd [警告]

私の最後のrkhunterスキャンは、チェックするに値するいくつかの警告を報告しました。私の容疑者の主な理由は、私が(03-Apr-2014 01:12:12)-> AMにマシンにいなかったということです

質問のタイトルで言及した2つのファイルの目的を理解するためにグーグルで検索しましたが、あまり役立つ答えは見つかりませんでした。誰かがそれらのファイルの目的は何か、そしておそらくそれがシステム自体によって変更される理由/時期を教えてもらえますか?

[10:17:11] Warning: The file properties have changed:
[10:17:11]          File: /usr/sbin/sshd
[10:17:11]          Current hash: 900e153506754ceb7b19f3a01a3ad5e36d43d958
[10:17:11]          Stored hash : 55a1a63a46d84eb9d0322f96bd9a61f070e90698
[10:17:11]          Current inode: 149998    Stored inode: 142248
[10:17:11]          Current file modification time: 1396480332 (03-Apr-2014 01:12:12)
[10:17:11]          Stored file modification time : 1360359087 (08-Feb-2013 22:31:27)

[10:17:34] Warning: The file properties have changed:
[10:17:34]          File: /usr/bin/ssh
[10:17:34]          Current hash: 60366d414c711a70f9e313f5ff26213ca513b565
[10:17:34]          Stored hash : 1b410fb0de841737f963e1ee011989f155f41259
[10:17:34]          Current inode: 150030    Stored inode: 142203
[10:17:34]          Current file modification time: 1396480332 (03-Apr-2014 01:12:12)
[10:17:34]          Stored file modification time : 1360359087 (08-Feb-2013 22:31:27)

aptログファイルは私を心配させます、私はいくつかの情報を検閲しました。どうやら2014年4月3日、私は何もインストールしませんでした。

Start-Date: 2014-04-01  15:49:18
Commandline:  ***********
Install:  ***********
End-Date: 2014-04-01  15:49:29

Start-Date: 2014-04-08  14:03:52
Commandline:  ***********
Install:  ***********
End-Date: 2014-04-08  14:04:04

ちなみに、私はそれらが誤検知であると思います(願っています)[編集:もうありません]。たぶん、システムの何らかのプロセスによって編集されたファイルで、更新しなかったため、通常はrkhunterの.datファイルに記録されていません。私はここに来て、確認や妄想を見つけました。

debiansshprocesssshdchkrootkit
3
lese

SSHを更新しなかった場合、プログラムのハッシュは変更されません。また、ファイルが変更された時刻(2014年4月3日)が表示されるため、opensshパッケージを更新しなかった場合でも、誤検知ではありません。

1
phoops

グーグルはここで私を怒らせます。私もハッキングされたと思います。 rkhunterからの同じメッセージ。ここにもう少し分析するいくつかの方法があります。

確かに、md5sumをチェックすることができます

Sudo cat /var/lib/dpkg/info/openssh-client.md5sums
md5sum /usr/bin/ssh

別の方法は

dpkg --verify openssh-server

空でも大丈夫です、?? 5 ??????が表示されたら問題があります/ usr/sbin/sshd

確認しやすいdebsumをインストールすることもできます

Sudo apt-get install debsums
Sudo debsums | grep -v OK

これが私のリストでした。私はそれがまだローカル合計を使用していると思います。公式のDebianミラーで実行できれば、より安全になります。誰かがこれを行う方法を知っていますか?

debsums: missing file /usr/include/openssl/x509_vfy.h (from libssl-dev:AMD64 package)
debsums: missing file /usr/include/openssl/x509v3.h (from libssl-dev:AMD64 package)
/usr/bin/scp                                                              FAILED
/usr/bin/sftp                                                             FAILED
/usr/bin/ssh                                                              FAILED
/usr/bin/ssh-add                                                          FAILED
/usr/bin/ssh-agent                                                        FAILED
/usr/bin/ssh-keygen                                                       FAILED
/usr/bin/ssh-keyscan                                                      FAILED
/usr/sbin/sshd                                                            FAILED
/usr/bin/rkhunter                                                         FAILED
0
varta