[linux] rkhunter en updates

[Geert Stappers]

On Thu, Feb 21, 2019 at 11:28:03AM +0100, Daniel C. von Asmuth wrote:
> Aldus schreef paai op Thu, Feb 21, 2019 at 09:06:21AM +0100:
> > Hallo,
> > 
> > ik run dagelijks rkhunter en kom daarbij eigenlijk al jaren hetzelfde
> > patroon tegen. Na een apt-get update && apt-get upgrade werk ik de database
> > bij (rkhunter --propupd).
> > 
> > En dan na een paar dagen of zelfs weken komen er meldingen als
> > 
> > Warning: The file properties have changed:
> >          File: /usr/bin/curl
> >          Current inode: 2491312    Stored inode: 2491407
> >          Current file modification time: 1548769710 (29-jan-2019 14:48:30)
> >          Stored file modification time : 1540815057 (29-okt-2018 13:10:57)
> > Warning: The file properties have changed:
> >          File: /usr/bin/ssh
> >          Current inode: 2492293    Stored inode: 2498452
> >          Current file modification time: 1548943114 (31-jan-2019 14:58:34)
> >          Stored file modification time : 1541418689 (05-nov-2018 12:51:29)
> > 
> > ...
> > 
> > Eerst een stuk of drie en dan na een paar dagen nog een tiental
> > meer. De vermelde timestamps kan ik ook nergens aan koppelen.
> > 
> > Ik heb al vaak met andere security programmas het hele filesysteem
> > overhoop gehaald, maar er is dan toch absoluut niks raars te
> > vinden. Dit gebeurt overigens ook bij volkomen nieuwe installaties.
> > 
> > Suggesties?
> > 
> 
> Kijk eens goed naar de genoemde files. De output suggereert dat het niet
> de originele versies zijn.

Ja. Het is wat rkhunter terecht meldt. Er zijn immers updates geweest.


> Ik zou de bijbehorende pakketten verwijderen
> en opnieuw installeren of zo. 

Met welk doel / idee  /  mogelijk voordeel???


Groeten
Geert Stappers
-- 
Leven en laten leven