Rkhunter 报告文件属性已更改

Question

我正在运行 Ubuntu 服务器的完全更新的 LTS 副本。今天我跑了 rkhunter（就像我不时做的那样）。这是我得到的输出：

 Warning: The file properties have changed:
[15:52:25]          File: /bin/ps
[15:52:25]          Current hash: f22991ec93ae966c856d367f42fc3d8a484bd827
[15:52:25]          Stored hash : 1892268bf195ac118076b1b0f53e7a637eb6fbb3
[15:52:25]          Current inode: 142902    Stored inode: 130894
[15:52:25]          Current file modification time: 1324307913 (19-Dec-2011 07:18:33)
[15:52:25]          Stored file modification time : 1260992081 (16-Dec-2009 11:34:41)



 Warning: The file properties have changed:
[15:52:33]          File: /usr/bin/ldd
[15:52:33]          Current hash: f1e2ca5aa3a28994e2cebb64c993a72b7d97b28c
[15:52:33]          Stored hash : 295d9cedb121a5e431a39a6d201ecd7ce5640497
[15:52:33]          Current inode: 2236210    Stored inode: 2234359
[15:52:33]          Current size: 5280    Stored size: 5279
[15:52:33]          Current file modification time: 1331165514 (07-Mar-2012 16:11:54)
[15:52:33]          Stored file modification time : 1295653965 (21-Jan-2011 15:52:45)



 Warning: The file properties have changed:
[15:52:37]          File: /usr/bin/pgrep
[15:52:37]          Current hash: 3eada9a96760f3e2c9111cfe32901d1432813c1d
[15:52:37]          Stored hash : ce265d0db9964b173fe5036f703a9b8d66e55df3
[15:52:37]          Current inode: 2229646    Stored inode: 2224867
[15:52:37]          Current file modification time: 1324307913 (19-Dec-2011 07:18:33)
[15:52:37]          Stored file modification time : 1260992081 (16-Dec-2009 11:34:41)




Warning: The file properties have changed:
[15:52:41]          File: /usr/bin/top
[15:52:41]          Current hash: 6be13737d8b0950cea2f1ae3a46d4af713dbe971
[15:52:41]          Stored hash : c7b495ecef3982eeb6f08a511861b1a1ae8775e6
[15:52:41]          Current inode: 2229629    Stored inode: 2224862
[15:52:41]          Current file modification time: 1324307913 (19-Dec-2011 07:18:33)
[15:52:41]          Stored file modification time : 1260992081 (16-Dec-2009 11:34:41)



Warning: The file properties have changed:
[15:52:53]          File: /usr/sbin/cron
[15:52:53]          Current hash: e783ca973f970aa8a4bf5edc670e690b33914c3d
[15:52:53]          Stored hash : 4718257a8060736b9058aed025c992f02a74a5a7
[15:52:53]          Current inode: 2224719    Stored inode: 2228839
[15:52:54]          Current file modification time: 1330965568 (05-Mar-2012 08:39:28)

还有一些我遗漏了。我的服务器root了吗？我正在运行 fail2ban 并监控失败的 ssh 登录。什么都没有出现。有人可以将这些哈希值与他们的 Ubuntu Server (lts) 副本进行比较吗？请告诉我这些是误报.....

编辑：

这是具有奇数 md5 的所有文件的列表：

kill
ps
ldd
pgrep
top
vmstat
w
watch
w.procps  
sysctl
cron

这看起来不太好。我将使用相同的发行版创建一个虚拟机并更新它，然后再次运行 rkhunter。如果我被黑了，他们到底是怎么进来的？SSH 位于非标准端口上，我正在运行 fail2ban 并每天检查日志。我正在运行 apache，但 www-data 没有任何写入权限。我糊涂了。

Answer 1

从时间戳来看，您似乎更新了 12 月 19 日 7:30 左右构建的几个程序。
修改时间戳应该是构建时间戳。这取决于它们如何移动到位。某些程序通过 /etc/alternatives 链接，符号链接将具有安装的时间戳。这可能是自动安全更新。

/var/log/apt/history.log从那时起检查检查您的文件。它可能被压缩和旋转，但可以使用zless. If you use aptitude to do your updates, check its log/var/log/aptitude.log`读取。许多包都有 md5sums，可用于验证它们包含的文件未被修改。从包含比较校验和的只读媒体运行静态链接工具是最安全的。但是，如果您认为 md5 工具链没有受到损害，您可以使用本地文件。

像这样的程序rkhunter通常需要一个开关来更新他们的校验和数据库。您可能希望在运行更新之前运行该程序，然后在更新之后再次使用开关来捕获更改的哈希码。