OSSEC-Integritätsprüfsummenalarm - Was hat die Änderung verursacht?

Kürzlich installierte OSSEC auf Linux-Maschine zum Testen.

Die meisten Ergebnisse werden erwartet, aber gestern habe ich E-Mails mit einer Reihe von Benachrichtigungen über Änderungen der Integritätsprüfsumme für Dateien wie / usr / bin / whoami / usr / bin / md5sum / usr / bin / ls und weitere 50 ähnliche Dateien erhalten

Wie kann ich herausfinden, warum sich die Integritätsprüfsumme 2 Tage nach der Installation des OSSEC-Programms geändert hat, da ich keine neuen Versionen dieser Dateien installiert habe?

Eureka

linux ossec Eureka Ikara
quelle

Antworten:

Zwei Gründe sind:

Du wurdest tatsächlich gehackt
Vorverknüpfung ist aktiviert

Sie können die Vorverknüpfung deaktivieren, indem Sie / etc / sysconfig / pretink von folgender Adresse aus bearbeiten:

PRELINKING=yes

zu:

PRELINKING=no

Und läuft:

prelink -ua

Quelle: http://www.ossec.net/wiki/Know_How:Check_Sums

Rob Olmos
quelle

Vielen Dank. Das hat die ständigen Veränderungen erklärt, die ich gesehen habe. Ich habe dann weiter gesucht und auch Informationen zu einer anderen Option gefunden. Quelle: mail-archive.com/[email protected]/msg04568.html

Eureka Ikara