Linux
“aureport -x –summary”顯示 -> /usr/sbin/sshd;61b30d72(已刪除)
在其中一台執行 Centos 的機器上,即
cat /etc/redhat-release CentOS Linux release 7.9.2009 (Core)
我通過命令 aureport -x –summary 發現了一些奇怪的東西
aureport -x --summary Executable Summary Report ================================= total file ================================= 19328 /usr/bin/rpm 11802 /usr/sbin/crond 7713 /usr/sbin/sshd 4201 /usr/bin/grep 1564 /usr/libexec/postfix/pickup 1031 /usr/sbin/libvirtd 891 /usr/sbin/logrotate 866 /usr/sbin/unix_chkpwd 785 /usr/lib/systemd/systemd-logind 704 /usr/bin/ps 541 /usr/bin/su 302 /usr/bin/bash 295 /usr/sbin/xtables-multi 294 /usr/lib/systemd/systemd 222 /usr/bin/sudo 171 /usr/bin/id 135 /usr/bin/systemd-tmpfiles 66 /usr/bin/python2.7 48 /usr/bin/date 46 /usr/sbin/brctl 41 /usr/bin/ls 32 /usr/bin/ssh 31 /usr/bin/diff 30 /usr/sbin/sendmail.postfix 29 /usr/sbin/anacron 27 /usr/lib/polkit-1/polkitd 27 /usr/bin/pkla-check-authorization 24 /usr/libexec/postfix/cleanup 24 /usr/libexec/postfix/trivial-rewrite 24 /usr/libexec/postfix/local 20 /usr/sbin/virtlogd 18 /usr/sbin/postdrop 15 /usr/sbin/ebtables-restore 10 /usr/bin/kmod 6 /usr/bin/vim 6 /usr/libexec/postfix/master 5 /usr/sbin/sshd;61b30d72 (deleted) 4 /usr/bin/ssh-keygen 3 /usr/sbin/postfix 3 /usr/sbin/postlog 3 /usr/lib/systemd/systemd-update-utmp 3 /usr/sbin/autrace 2 /usr/bin/cpio 1 /usr/bin/getent 1 /usr/bin/chown 1 /usr/sbin/ip
“61b30d72(已刪除)”是什麼意思
rkhunter 沒有顯示任何警告或可疑文件!IE
rkhunter --update --propupd [ Rootkit Hunter version 1.4.6 ]
進而
rkhunter -c -sk
!!!全綠!!!
61b30d72 是什麼意思?
這意味著
/usr/sbin/sshd
報告行所引用的執行檔在審計日誌條目的時間和報告的時間之間已被刪除。最可能的原因是它已被更新所取代。這一解釋得到了以下事實的支持:有另一行/usr/sbin/sshd
沒有提及deleted
,它指的是在創建報告時存在的更新的執行檔。