У нас есть файл журнала и вспомогательный файл. Мы хотели бы знать, как узнать, имело ли место какое-либо вторжение, поскольку этот сервер некоторое время не был активен. У нас довольно много таких записей в файлах помощника. Означает ли это, что что-то случилось?
File /etc/networks in databases has different attributes, 10020021d,20021d
File /etc/dnsmasq.conf in databases has different attributes, 10020021d,20021d
File /etc/exports in databases has different attributes, 340205bbd,240205bbd
File /etc/cgrules.conf in databases has different attributes, 10020021d,20021d
File /etc/autofs_ldap_auth.conf in databases has different attributes, 10020021d,20021d
AIDE может указывать вам только на файлы, которые были изменены, но не может узнать Зачем эти файлы были изменены. Это может быть вторжение, но также может быть просто обновление программного обеспечения.
Вам нужно просмотреть список отчетов AIDE, и для каждого файла найти либо Зачем это изменилось, или какие изменилось. Я бы начал с рассмотрения шаблона - например, если были обновлены файл конфигурации и соответствующие двоичные файлы и страницы руководства, скорее всего, это было обновление программного обеспечения. Затем убедитесь, что вы учитываете обновление программного обеспечения, потому что это могло быть либо ожидаемое обновление программного обеспечения, либо хакер, заменивший пакет на пакет, содержащий бэкдор. Посмотрите в файлах журнала yum и т. Д., Когда произошло соответствующее обновление.
Точно так же откройте файлы конфигурации и убедитесь, что значения правильные (помните, что некоторые взломы очень сложно обнаружить невооруженным глазом!)