rkhunter /usr/bin/ssh && /usr/sbin/sshd [警告]

rkhunter /usr/bin/ssh && /usr/sbin/sshd [警告]

私の最後のrkhunterスキャンでは、確認できるいくつかの警告が報告されました。疑わしい主な理由は、私が(2014年4月3日01:12:12) - > AMにコンピュータにいないからです。

質問のタイトルに記載されている2つのファイルの目的を理解するためにGoogleを試しましたが、あまり役に立たない答えが見つかりませんでした。誰もがこのファイルの目的が何であるか、システム自体でファイルが変更される理由/いつ教えてもらえますか?

[10:17:11] Warning: The file properties have changed:
[10:17:11]          File: /usr/sbin/sshd
[10:17:11]          Current hash: 900e153506754ceb7b19f3a01a3ad5e36d43d958
[10:17:11]          Stored hash : 55a1a63a46d84eb9d0322f96bd9a61f070e90698
[10:17:11]          Current inode: 149998    Stored inode: 142248
[10:17:11]          Current file modification time: 1396480332 (03-Apr-2014 01:12:12)
[10:17:11]          Stored file modification time : 1360359087 (08-Feb-2013 22:31:27)

[10:17:34] Warning: The file properties have changed:
[10:17:34]          File: /usr/bin/ssh
[10:17:34]          Current hash: 60366d414c711a70f9e313f5ff26213ca513b565
[10:17:34]          Stored hash : 1b410fb0de841737f963e1ee011989f155f41259
[10:17:34]          Current inode: 150030    Stored inode: 142203
[10:17:34]          Current file modification time: 1396480332 (03-Apr-2014 01:12:12)
[10:17:34]          Stored file modification time : 1360359087 (08-Feb-2013 22:31:27)

適切なログファイルが心配され、一部の情報を確認しました。明らかに2014年4月3日には何もインストールしていません。

Start-Date: 2014-04-01  15:49:18
Commandline:  ***********
Install:  ***********
End-Date: 2014-04-01  15:49:29

Start-Date: 2014-04-08  14:03:52
Commandline:  ***********
Install:  ***********
End-Date: 2014-04-08  14:04:04

ところで、私の考えには(希望)彼らが偽の肯定(編集:これ以上ではない)だと思います。システムの特定のプロセスによって編集されたファイルでもあります。通常、更新しなかったため、rkhunterの.datファイルには記録されません。私はここで確認したいと思うか、さらに編集証を探しています。

答え1

SSHを更新していない場合は、プログラムのハッシュを変更しないでください。また、ファイルが変更された時期(2014年4月3日)が表示されるため、opensshパッケージを更新していない場合、これは偽の肯定ではありません。

答え2

Googleが私をここに連れてきた。私もハッキングされたようです。 rkhunterの同じニュースです。これをより詳細に分析する方法はいくつかあります。

確認するには、次のようにmd5sumを確認できます。

sudo cat /var/lib/dpkg/info/openssh-client.md5sums
md5sum /usr/bin/ssh

別の方法は

dpkg --verify openssh-server

ただ空にしてください。 ??5??????が表示されている場合は/usr/sbin/sshdに問題があります。

簡単に確認できるように debsum をインストールすることもできます。

sudo apt-get install debsums
sudo debsums | grep -v OK

これが私のリストです。まだ地元の金額を使っていると思います。公式のDebianイメージを使ってこれを行うことができれば、より安全になります。これを行う方法を知っている人はいますか?

debsums: missing file /usr/include/openssl/x509_vfy.h (from libssl-dev:amd64 package)
debsums: missing file /usr/include/openssl/x509v3.h (from libssl-dev:amd64 package)
/usr/bin/scp                                                              FAILED
/usr/bin/sftp                                                             FAILED
/usr/bin/ssh                                                              FAILED
/usr/bin/ssh-add                                                          FAILED
/usr/bin/ssh-agent                                                        FAILED
/usr/bin/ssh-keygen                                                       FAILED
/usr/bin/ssh-keyscan                                                      FAILED
/usr/sbin/sshd                                                            FAILED
/usr/bin/rkhunter                                                         FAILED

関連情報