“aureport -x –summary”顯示 -> /usr/sbin/sshd;61b30d72（已刪除）

在其中一台執行 Centos 的機器上，即

cat /etc/redhat-release 
CentOS Linux release 7.9.2009 (Core)

我通過命令 aureport -x –summary 發現了一些奇怪的東西

aureport -x --summary

Executable Summary Report
=================================
total  file
=================================
19328  /usr/bin/rpm
11802  /usr/sbin/crond
7713  /usr/sbin/sshd
4201  /usr/bin/grep
1564  /usr/libexec/postfix/pickup
1031  /usr/sbin/libvirtd
891  /usr/sbin/logrotate
866  /usr/sbin/unix_chkpwd
785  /usr/lib/systemd/systemd-logind
704  /usr/bin/ps
541  /usr/bin/su
302  /usr/bin/bash
295  /usr/sbin/xtables-multi
294  /usr/lib/systemd/systemd
222  /usr/bin/sudo
171  /usr/bin/id
135  /usr/bin/systemd-tmpfiles
66  /usr/bin/python2.7
48  /usr/bin/date
46  /usr/sbin/brctl
41  /usr/bin/ls
32  /usr/bin/ssh
31  /usr/bin/diff
30  /usr/sbin/sendmail.postfix
29  /usr/sbin/anacron
27  /usr/lib/polkit-1/polkitd
27  /usr/bin/pkla-check-authorization
24  /usr/libexec/postfix/cleanup
24  /usr/libexec/postfix/trivial-rewrite
24  /usr/libexec/postfix/local
20  /usr/sbin/virtlogd
18  /usr/sbin/postdrop
15  /usr/sbin/ebtables-restore
10  /usr/bin/kmod
6  /usr/bin/vim
6  /usr/libexec/postfix/master
5  /usr/sbin/sshd;61b30d72 (deleted)
4  /usr/bin/ssh-keygen
3  /usr/sbin/postfix
3  /usr/sbin/postlog
3  /usr/lib/systemd/systemd-update-utmp
3  /usr/sbin/autrace
2  /usr/bin/cpio
1  /usr/bin/getent
1  /usr/bin/chown
1  /usr/sbin/ip

“61b30d72（已刪除）”是什麼意思

rkhunter 沒有顯示任何警告或可疑文件！IE

rkhunter --update --propupd
[ Rootkit Hunter version 1.4.6 ]

進而

rkhunter -c -sk

！！！全綠！！！

61b30d72 是什麼意思？

這意味著/usr/sbin/sshd報告行所引用的執行檔在審計日誌條目的時間和報告的時間之間已被刪除。最可能的原因是它已被更新所取代。這一解釋得到了以下事實的支持：有另一行/usr/sbin/sshd沒有提及deleted，它指的是在創建報告時存在的更新的執行檔。

引用自：https://serverfault.com/questions/1088672