Назад | Перейти на главную страницу

Как узнать, были ли файлы md5 изменены вирусом или самой системой centos

Я установил OSSSEC, чтобы файлы были изменены или нет. Но иногда это дает мне ложные предупреждения и контрольные суммы целостности, такие как изменения в следующих файлах.

Как я могу убедиться, что файлы изменяются системой, а не вирусом itlef. Это очень сбивает с толку. Возможно, файл был изменен вирусом, и я просто проигнорировал его.

Из журналов OSSSEC получается следующее:

Integrity checksum changed for: '/etc/passwd,v'
Integrity checksum changed for: '/etc/userdomains'

Integrity checksum changed for: '/etc/shadow.cache'
Integrity checksum changed for: '/etc/domainusers'
Integrity checksum changed for: '/etc/userplans,v
Integrity checksum changed for: '/etc/trueuserdomains'
Integrity checksum changed for: '/etc/proftpd/passwd.vhosts.cache

Сравните файл (ы) с заведомо исправной резервной копией. Посмотрите, что изменилось, если что-то было изменено, что вы не считаете связанным с тем, что вы сделали, тогда у вас может быть повод для беспокойства.

Добро пожаловать в чудесный мир Linux / Posix / Unix, где существует всего пара вирусов, созданных как POC. На практике вирусов для Linux в дикой природе не существует. Это не означает, что эти системы нельзя атаковать другими способами - но компьютерные вирусы на самом деле являются проблемой только для пользователей MS-Windows (и на MAC-адресах до Unix).

Все файлы, перечисленные вами выше, содержат информацию об учетных записях пользователей, настроенных в вашей системе. Если вы добавили каких-либо пользователей (или, в некоторых случаях, изменили пароль), эти файлы будут изменены.

Проверка целостности на основе хоста IDS не может определить, что файлы делают или кто их модифицировал - поэтому они сообщают вам, что изменилось, а не просто сообщают вам, что это сломано. Как и выше, если вы хотите знать, как файлы были изменены, вам нужно знать, что они делают.

Я бы посоветовал, если вы не очень хорошо знакомы с работой системы, прекратите сканирование файлов конфигурации и данных и ограничьте проверку подписи исполняемыми файлами и библиотеками. Но также регулярно используйте инструмент проверки руткитов.