OSSEC整合性チェックサムアラート-変更の原因は何ですか?
テストするために最近LinuxマシンにOSSECをインストールしました。
ほとんどの結果が期待されますが、昨日、/ usr/bin/whoami/usr/bin/md5sum/usr/bin/lsなどのファイルの整合性チェックサムの変更に関する通知が多数記載されたメールを受け取りました。
これらのファイルの新しいバージョンをインストールしなかったので、OSSECプログラムをインストールしてから2日後に整合性チェックサムが変更された原因を特定するにはどうすればよいですか?
ユーレカ
2つの理由は次のとおりです。
- あなたは実際にハッキングされました
- プリリンク 有効
以下から/ etc/sysconfig/prelinkを編集することにより、事前リンクを無効にできます。
PRELINKING=yes
に:
PRELINKING=no
そして実行中:
prelink -ua