„aureport -x --summary” arată -> /usr/sbin/sshd;61b30d72 (șters)

Tito

30.04.2023, 13:39

Pe una dintre mașinile care rulează Centos, i.e.

cat /etc/redhat-release 
CentOS Linux versiunea 7.9.2009 (Core)

Am găsit ceva ciudat prin comanda aureport -x --summary

 aureport -x --rezumat

Raport de rezumat executabil
==================================
fișier total
==================================
19328 /usr/bin/rpm
11802 /usr/sbin/crond
7713 /usr/sbin/sshd
4201 /usr/bin/grep
1564 /usr/libexec/postfix/pickup
1031 /usr/sbin/libvirtd
891 /usr/sbin/logrotate
866 /usr/sbin/unix_chkpwd
785 /usr/lib/systemd/systemd-logind
704 /usr/bin/ps
541 /usr/bin/su
302 /usr/bin/bash
295 /usr/sbin/xtables-multi
294 /usr/lib/systemd/systemd
222 /usr/bin/sudo
171 /usr/bin/id
135 /usr/bin/systemd-tmpfiles
66 /usr/bin/python2.7
48 /usr/bin/date
46 /usr/sbin/brctl
41 /usr/bin/ls
32 /usr/bin/ssh
31 /usr/bin/diff
30 /usr/sbin/sendmail.postfix
29 /usr/sbin/anacron
27 /usr/lib/polkit-1/polkitd
27 /usr/bin/pkla-check-authorization
24 /usr/libexec/postfix/cleanup
24 /usr/libexec/postfix/trivial-rewrite
24 /usr/libexec/postfix/local
20 /usr/sbin/virtlogd
18 /usr/sbin/postdrop
15 /usr/sbin/ebtables-restore
10 /usr/bin/kmod
6 /usr/bin/vim
6 /usr/libexec/postfix/master
5 /usr/sbin/sshd;61b30d72 (șters)
4 /usr/bin/ssh-keygen
3 /usr/sbin/postfix
3 /usr/sbin/postlog
3 /usr/lib/systemd/systemd-update-utmp
3 /usr/sbin/autrace
2 /usr/bin/cpio
1 /usr/bin/getent
1 /usr/bin/chown
1 /usr/sbin/ip

ce înseamnă „61b30d72 (șters)”.

rkhunter nu afișează niciun fișier de avertizare sau suspect! adică

rkhunter --update --propupd
[Rootkit Hunter versiunea 1.4.6]

și apoi

rkhunter -c -sk

!!!tot verde!!!

ce înseamnă 61b30d72?

0 + 0

linux

audit

centos

Puncte:3

Server

Tilman Schmidt

30.04.2023, 13:51

Înseamnă că fișierul executabil /usr/sbin/sshd la care se referă linia de raport a fost ștearsă între momentul înregistrării în jurnalul de audit și momentul raportării. Cea mai probabilă cauză este că a fost înlocuită cu o actualizare. Această explicație este susținută de faptul că există o altă linie /usr/sbin/sshd fără mențiunea șters care s-ar referi la executabilul actualizat care era prezent în momentul în care a fost creat raportul.

0 + 0

Tito

30.04.2023, 14:00

Bună ziua @Tilman Schmidt, mulțumesc pentru răspuns, bănuiam că acest răspuns voiam să mă asigur. Singurul lucru care mă îngrijorează în acest caz este că nu am făcut nicio actualizare și serverul nu este configurat pentru actualizări automate. trebuie să aflu ce se întâmplă.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: "aureport -x --summary" shows -> /usr/sbin/sshd;61b30d72 (deleted)

TH: "aureport -x --summary" แสดง -> /usr/sbin/sshd;61b30d72 (ลบแล้ว)

RO: „aureport -x --summary” arată -> /usr/sbin/sshd;61b30d72 (șters)

RU: "aureport -x --summary" показывает -> /usr/sbin/sshd;61b30d72 (удалено)

VI: "aureport -x --summary" hiển thị -> /usr/sbin/sshd;61b30d72 (đã xóa)

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.