那些遇到过的问题

标签: rkhunter

rkhunter:“可疑的共享内存段”

我这里有一个新安装的带有 CentOS7 的服务器,并在上面安装了 GroupOffice。安装 rkhunter 并开始 rkhunter 检查后,我得到:

[09:58:15] Suspicious Shared Memory segments
[09:58:15]   Process:     PID: 1769    Owner: apache         [ Found ]
[09:58:15]   Suspicious Shared Memory segments               [ Warning ]
Run Code Online (Sandbox Code Playgroud)

有人知道“可疑的共享内存段”是什么意思吗?我如何检查这是否是误报?如果是这样:我如何将这个错误列入白名单?

编辑

如果我尝试使用 ps 命令列出进程,则 PID 为 1769 的进程不存在:

# ps -p 1769
  PID TTY          TIME CMD
# ps aux | grep 1769
root     12777  0.0  0.0 112660   960 pts/0    S+   10:25   0:00 grep --color=auto 1769
# ps aux | grep apache
apache   12606  0.0  0.5 537092 10224 ?        S …
Run Code Online (Sandbox Code Playgroud)

linux rkhunter

Ste*_*fen
2015 06-10
15
推荐指数
2
解决办法
2万
查看次数

rkhunter 错误消息,如何解决?

我从 rkhunter 收到以下错误。我最近将我的服务器从 lenny 升级到了挤压,这可能导致了问题。如何解决此问题或隐藏错误消息?

Warning: The modules file '/proc/modules' is missing.
Warning: Suspicious file types found in /dev:
         /dev/shm/network/ifstate: ASCII text
Warning: Hidden directory found: /dev/.udev
Run Code Online (Sandbox Code Playgroud)

我也没有收到第二封电子邮件:Please inspect this machine, because it may be infected.请问有人能指出我正确的方向来找出这些错误的原因吗?

linux rkhunter debian-squeeze

Joh*_*lia
2011 10-06
9
推荐指数
1
解决办法
4738
查看次数

rkhunter 警告 inode 更改但没有文件修改日期更改

我有几个系统运行 Centos 6 并安装了 rkhunter。我每天都有一个 cron 运行 rkhunter 并通过电子邮件报告。

我经常收到这样的报告:

---------------------- Start Rootkit Hunter Scan ----------------------
Warning: The file properties have changed:
        File: /sbin/fsck
        Current inode: 6029384    Stored inode: 6029326
Warning: The file properties have changed:
        File: /sbin/ip
        Current inode: 6029506    Stored inode: 6029343
Warning: The file properties have changed:
        File: /sbin/nologin
        Current inode: 6029443    Stored inode: 6029531
Warning: The file properties have changed:
        File: /bin/dmesg
        Current inode: 13369362    Stored inode: 13369366
Run Code Online (Sandbox Code Playgroud)

据我了解,rkhunter 通常会向扫描文件报告更改的哈希和/或修改日期,所以这让我认为没有真正的变化。

我的问题:机器上是否还有其他活动可以更改 inode(运行 ext4),或者这是否真的yum对这些文件进行了定期(~每周一次)更改,作为正常安全更新的一部分?

centos yum rkhunter

Nic*_*ell
2014 12-19
8
推荐指数
1
解决办法
2490
查看次数

Rkhunter 报告文件属性已更改

我正在运行 Ubuntu 服务器的完全更新的 LTS 副本。今天我跑了 rkhunter(就像我不时做的那样)。这是我得到的输出:

 Warning: The file properties have changed:
[15:52:25]          File: /bin/ps
[15:52:25]          Current hash: f22991ec93ae966c856d367f42fc3d8a484bd827
[15:52:25]          Stored hash : 1892268bf195ac118076b1b0f53e7a637eb6fbb3
[15:52:25]          Current inode: 142902    Stored inode: 130894
[15:52:25]          Current file modification time: 1324307913 (19-Dec-2011 07:18:33)
[15:52:25]          Stored file modification time : 1260992081 (16-Dec-2009 11:34:41)



 Warning: The file properties have changed:
[15:52:33]          File: /usr/bin/ldd
[15:52:33]          Current hash: f1e2ca5aa3a28994e2cebb64c993a72b7d97b28c
[15:52:33]          Stored hash : 295d9cedb121a5e431a39a6d201ecd7ce5640497
[15:52:33]          Current inode: 2236210    Stored inode: 2234359
[15:52:33]          Current size: 5280    Stored size: 5279 …
Run Code Online (Sandbox Code Playgroud)

ubuntu rkhunter

Cou*_*phy
2012 03-22
6
推荐指数
1
解决办法
5021
查看次数

标签 统计

rkhunter ×4

linux ×2

centos ×1

debian-squeeze ×1

ubuntu ×1

yum ×1