Я установил OSSSEC, чтобы файлы были изменены или нет. Но иногда это дает мне ложные предупреждения и контрольные суммы целостности, такие как изменения в следующих файлах.
Как я могу убедиться, что файлы изменяются системой, а не вирусом itlef. Это очень сбивает с толку. Возможно, файл был изменен вирусом, и я просто проигнорировал его.
Из журналов OSSSEC получается следующее:
Integrity checksum changed for: '/etc/passwd,v'
Integrity checksum changed for: '/etc/userdomains'
Integrity checksum changed for: '/etc/shadow.cache'
Integrity checksum changed for: '/etc/domainusers'
Integrity checksum changed for: '/etc/userplans,v
Integrity checksum changed for: '/etc/trueuserdomains'
Integrity checksum changed for: '/etc/proftpd/passwd.vhosts.cache
Сравните файл (ы) с заведомо исправной резервной копией. Посмотрите, что изменилось, если что-то было изменено, что вы не считаете связанным с тем, что вы сделали, тогда у вас может быть повод для беспокойства.
Добро пожаловать в чудесный мир Linux / Posix / Unix, где существует всего пара вирусов, созданных как POC. На практике вирусов для Linux в дикой природе не существует. Это не означает, что эти системы нельзя атаковать другими способами - но компьютерные вирусы на самом деле являются проблемой только для пользователей MS-Windows (и на MAC-адресах до Unix).
Все файлы, перечисленные вами выше, содержат информацию об учетных записях пользователей, настроенных в вашей системе. Если вы добавили каких-либо пользователей (или, в некоторых случаях, изменили пароль), эти файлы будут изменены.
Проверка целостности на основе хоста IDS не может определить, что файлы делают или кто их модифицировал - поэтому они сообщают вам, что изменилось, а не просто сообщают вам, что это сломано. Как и выше, если вы хотите знать, как файлы были изменены, вам нужно знать, что они делают.
Я бы посоветовал, если вы не очень хорошо знакомы с работой системы, прекратите сканирование файлов конфигурации и данных и ограничьте проверку подписи исполняемыми файлами и библиотеками. Но также регулярно используйте инструмент проверки руткитов.