У меня есть коробка CentOS, которая работает уже около года. В нем нет ничего чрезвычайно важного, и у меня было много PHP-кода, за который я не могу лично поручиться, и он довольно старый. Я понимаю, что это напрашивается на неприятности.

Я сделал то, что мне известно, чтобы укрепить SSH и ограничить доступ через IPTables и т.д. Сегодня я заметил много тревожных файлов в /usr /bin / и /bin /. Множество того, что выглядит как дубликаты двоичных файлов, созданных в течение пары месяцев со скоростью около 20 дней в день:

-rw-r--r-- 1 root root 47024 Aug 7 2011 chage;4e3f01f7
-rw-r--r-- 1 root root 47024 Aug 7 2011 chage;4e3f1007
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f1e17
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f2c27
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f3a38
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f4846

Другие бинарные файлы с похожим расширением - newgrp, gpasswd, lastlog, dig, usleep и doexec.

Последняя дата файла - 8 августа, поэтому у меня нет журналов, возвращающихся так далеко. Может ли кто-нибудь помочь мне понять, что здесь происходит?

|источник

1 ответ1

0

Я не могу сказать вам, почему это происходит, но эти цифры после ; очень похожи на временные метки:

4e3f01f7 => Sun Aug  7 17:21:59 2011
4e3f1007 => Sun Aug  7 18:21:59 2011
4e3f1e17 => Sun Aug  7 19:21:59 2011
4e3f2c27 => Sun Aug  7 20:21:59 2011
4e3f3a38 => Sun Aug  7 21:22:00 2011
4e3f4846 => Sun Aug  7 22:21:58 2011

(секунды с эпохи в гексе). Из-за того, что они почти на расстоянии минуты, я подозреваю, что может быть работа cron?

Они также одинакового размера. Может, стоит проверить, совпадают ли они с md5sum? или если бы они могли быть в том же файле жестко связаны? (проверьте номер инода в stat).

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .