rkhunter /usr/bin/ssh && /usr/sbin/sshd [경고]

tag-icon tag-icon debian ssh process sshd chkrootkit
rkhunter /usr/bin/ssh && /usr/sbin/sshd [경고]

나의 마지막 rkhunter 스캔에서는 확인할 만한 몇 가지 경고가 보고되었습니다. 의심스러운 주된 이유는 내가 (2014년 4월 3일 01:12:12) -> AM에 컴퓨터에 있지 않기 때문입니다.

질문 제목에 언급한 두 파일의 목적을 이해하기 위해 구글링을 해봤지만 별로 도움이 되는 답변을 찾지 못했습니다. 누구든지 이 파일의 목적이 무엇인지, 시스템 자체에서 파일이 수정되는 이유/언제를 말해 줄 수 있습니까?

[10:17:11] Warning: The file properties have changed:
[10:17:11]          File: /usr/sbin/sshd
[10:17:11]          Current hash: 900e153506754ceb7b19f3a01a3ad5e36d43d958
[10:17:11]          Stored hash : 55a1a63a46d84eb9d0322f96bd9a61f070e90698
[10:17:11]          Current inode: 149998    Stored inode: 142248
[10:17:11]          Current file modification time: 1396480332 (03-Apr-2014 01:12:12)
[10:17:11]          Stored file modification time : 1360359087 (08-Feb-2013 22:31:27)

[10:17:34] Warning: The file properties have changed:
[10:17:34]          File: /usr/bin/ssh
[10:17:34]          Current hash: 60366d414c711a70f9e313f5ff26213ca513b565
[10:17:34]          Stored hash : 1b410fb0de841737f963e1ee011989f155f41259
[10:17:34]          Current inode: 150030    Stored inode: 142203
[10:17:34]          Current file modification time: 1396480332 (03-Apr-2014 01:12:12)
[10:17:34]          Stored file modification time : 1360359087 (08-Feb-2013 22:31:27)

적절한 로그 파일이 걱정되어 일부 정보를 검토했습니다. 분명히 2014년 4월 3일에는 아무것도 설치하지 않았습니다.

Start-Date: 2014-04-01  15:49:18
Commandline:  ***********
Install:  ***********
End-Date: 2014-04-01  15:49:29

Start-Date: 2014-04-08  14:03:52
Commandline:  ***********
Install:  ***********
End-Date: 2014-04-08  14:04:04

그런데, 내 생각엔 (희망) 그것들이 거짓 긍정(편집: 더 이상은 아님)인 것 같아요. 시스템의 특정 프로세스에 의해 편집된 파일일 수도 있습니다. 일반적으로 업데이트를 하지 않았기 때문에 rkhunter의 .dat 파일에는 기록되지 않습니다. 나는 여기서 확인을 원하거나 편집증을 더 찾고 있습니다.

답변1

SSH를 업데이트하지 않은 경우 프로그램의 해시가 변경되어서는 안 됩니다. 또한 파일이 수정된 시기(2014년 4월 3일)를 표시하므로 openssh패키지를 업데이트하지 않은 경우 이는 거짓 긍정이 아닙니다.

답변2

구글이 나를 여기로 데려왔다. 저도 해킹당한 것 같아요. rkhunter의 같은 소식입니다. 이를 더 자세히 분석할 수 있는 몇 가지 방법이 있습니다.

확실히 하려면 다음을 사용하여 md5sum을 확인할 수 있습니다.

sudo cat /var/lib/dpkg/info/openssh-client.md5sums
md5sum /usr/bin/ssh

또 다른 방법은

dpkg --verify openssh-server

그냥 비워두세요. ??5??????가 보이면 /usr/sbin/sshd에 문제가 있는 것입니다.

더 쉽게 확인할 수 있도록 debsum을 설치할 수도 있습니다.

sudo apt-get install debsums
sudo debsums | grep -v OK

이것이 내 목록입니다. 아직도 현지 금액을 사용하는 것 같아요. 공식 데비안 이미지를 사용하여 이 작업을 수행할 수 있다면 더 안전할 것입니다. 이 작업을 수행하는 방법을 아는 사람이 있나요?

debsums: missing file /usr/include/openssl/x509_vfy.h (from libssl-dev:amd64 package)
debsums: missing file /usr/include/openssl/x509v3.h (from libssl-dev:amd64 package)
/usr/bin/scp                                                              FAILED
/usr/bin/sftp                                                             FAILED
/usr/bin/ssh                                                              FAILED
/usr/bin/ssh-add                                                          FAILED
/usr/bin/ssh-agent                                                        FAILED
/usr/bin/ssh-keygen                                                       FAILED
/usr/bin/ssh-keyscan                                                      FAILED
/usr/sbin/sshd                                                            FAILED
/usr/bin/rkhunter                                                         FAILED

관련 정보