Мы запускаем здесь (новую) систему CentOS 7. Чтобы следить за системой на предмет недопустимых изменений / хакерских атак, мы запускаем rkhunter каждую ночь. Также после каждого (yum) обновления мы предварительно связываем все и запускаем «rkhunter --propupd».
Это работает нормально. Но через несколько дней мы получаем следующую ошибку:
[03:55:02] Warning: WARNING! It is the users responsibility to ensure that when the '--propupd' option
is used, all the files on their system are known to be genuine, and installed from a
reliable source. The rkhunter '--check' option will compare the current file properties
against previously stored values, and report if any values differ. However, rkhunter
cannot determine what has caused the change, that is for the user to do.
...
...
...
[03:55:04] Warning: Checking for prerequisites [ Warning ]
[03:55:04] The local host configuration or operating system has changed.
[03:55:05] /usr/sbin/adduser [ Warning ]
[03:55:05] Warning: No inode value found for file '/usr/sbin/adduser' in the 'rkhunter.dat' file.
[03:55:05] /usr/sbin/chkconfig [ Warning ]
[03:55:05] Warning: No inode value found for file '/usr/sbin/chkconfig' in the 'rkhunter.dat' file.
[03:55:05] /usr/sbin/chroot [ Warning ]
Мы уверены, что сервер не взломан. Потому что мы проверили дату и размер некоторых двоичных файлов. Мы также создали контрольную сумму некоторых из этих файлов. Все файлы идентичны и не изменились после появления предупреждения rkhunter.
Но мы хотим выяснить, в чем причина предупреждений rkhunter ...
Любые идеи?
РЕДАКТИРОВАТЬ:
В файлах журнала rkhunter есть еще одно предупреждение:
[03:55:05] Warning: The system has changed to not using prelinking since the last run.
[03:55:05] Because of the change(s) the file properties checks may give some false-positive results.
[03:55:05] You may need to re-run rkhunter with the '--propupd' option.
И это тоже решение. Смотрите мой ответ ниже ....
Нашел! Сегодня я просмотрел несколько файлов журналов. Итак, я нашел файл журнала предварительной ссылки. Файл журнала показывает, что был запущен процесс предварительной ссылки. После поиска работы предварительной ссылки в файлах cron я нашел ее в /etc/cron.daily. Я уверен, что это причина предупреждения rkhunter ... :-)