Глядя на последние запуски tripwire, однажды ночью, около недели назад, tripwire неожиданно обнаружил 11042 измененных файла, которые изменились только в количестве блоков, а не в размере, CRC32, MD5, inode или чем-то еще. Все файлы, которые были изменены таким образом, что я проверил в журнале tripwire, на восемь блоков больше. Если я игнорирую файлы, которые изменились только в счетчике блоков, все остальные изменения - это ожидаемые изменения, которые, как я знаю, я сделал, или ожидаемые изменения, такие как изменение файлов журнала.
Для контекста, этот сервер внезапно вышел из строя 19 июня, поэтому я заменил материнскую плату, но сохранил диски. (Все диски намного новее, чем была материнская плата.) Эта система на Fedora 23. Триплайнер, пройденный в 3 часа ночи 20 июня, не обнаружил таких отличий. 20 июня я снова открыл компьютер, чтобы заменить сетевую карту, которая не работала после замены материнской платы. Tripwire, запущенный в 3 часа ночи 21 июня, первым обнаружит все файлы с измененным количеством блоков.
rkhunter не жаловался ни на что, ни на что это стоит.
Учитывая, что для рассматриваемых файлов абсолютно ничего не изменилось, кроме количества блоков, и что все типы объектов получили 8 блоков больше (файлы, каталоги, даже символические ссылки), я вполне уверен, что это не взлом. Но я не уверен, что это доброкачественно. Как символическая ссылка может перейти от 0 до 8 блоков? Но, кажется, все работает просто отлично.
Что может вызвать это? Должен ли я волноваться? Мое последнее полное резервное копирование (rsync на внешний диск) было сделано вечером 20-го, так что, скорее всего, после того, что здесь изменилось. Ни один из измененных файлов не находится в /boot или /home или /var (все они являются отдельными файловыми системами, чего бы это ни стоило). Фактически, только файлы на / изменились таким образом. Файловая система / - это рейдовое зеркало, если это имеет значение.