rkhunter /usr/bin/ssh && /usr/sbin/sshd在一個rn我ng在一種rn一世nGWarning

我上次的 rkhunter 掃描報告了一些值得檢查的警告。我懷疑的主要原因是（2014 年 4 月 3 日 01:12:12）我不在機器上 -> 上午

我用Google搜尋了解我在問題標題中提到的 2 個文件的用途，但我沒有找到非常有用的答案。誰能告訴我這些文件的目的是什麼，也許還有為什麼/何時會被系統本身修改？

[10:17:11] Warning: The file properties have changed:
[10:17:11]          File: /usr/sbin/sshd
[10:17:11]          Current hash: 900e153506754ceb7b19f3a01a3ad5e36d43d958
[10:17:11]          Stored hash : 55a1a63a46d84eb9d0322f96bd9a61f070e90698
[10:17:11]          Current inode: 149998    Stored inode: 142248
[10:17:11]          Current file modification time: 1396480332 (03-Apr-2014 01:12:12)
[10:17:11]          Stored file modification time : 1360359087 (08-Feb-2013 22:31:27)

---

[10:17:34] Warning: The file properties have changed:
[10:17:34]          File: /usr/bin/ssh
[10:17:34]          Current hash: 60366d414c711a70f9e313f5ff26213ca513b565
[10:17:34]          Stored hash : 1b410fb0de841737f963e1ee011989f155f41259
[10:17:34]          Current inode: 150030    Stored inode: 142203
[10:17:34]          Current file modification time: 1396480332 (03-Apr-2014 01:12:12)
[10:17:34]          Stored file modification time : 1360359087 (08-Feb-2013 22:31:27)

apt 日誌文件讓我擔心，我審查了一些資訊。顯然在 2014 年 4 月 3 日，我什麼都沒安裝。

Start-Date: 2014-04-01  15:49:18
Commandline:  ***********
Install:  ***********
End-Date: 2014-04-01  15:49:29

Start-Date: 2014-04-08  14:03:52
Commandline:  ***********
Install:  ***********
End-Date: 2014-04-08  14:04:04

順便說一句，我認為（希望）它們是誤報

$$ edit:not anymore $$. 可能是系統某個程序編輯的文件，由於我沒有更新，所以通常不會記錄在rkhunter的.dat文件中。我來這裡是為了得到一些確認或更多的偏執。

如果您沒有更新 SSH，則程序的雜湊值不應更改。此外，它會顯示文件被修改的時間（2014 年 4 月 3 日），因此如果您沒有更新openssh軟體包，這不是誤報。

Google把我帶到了這裡。我想我也被黑了。來自 rkhunter 的相同消息。這裡有一些方法可以進一步分析。

可以肯定的是，您可以檢查 md5sum

sudo cat /var/lib/dpkg/info/openssh-client.md5sums
md5sum /usr/bin/ssh

另一種方法是

dpkg --verify openssh-server

空沒問題，如果你看到 ??5?????? /usr/sbin/sshd

您還可以安裝 debsums 這使得檢查更容易

sudo apt-get install debsums
sudo debsums | grep -v OK

這是我的清單。我認為它仍在使用本地金額。如果可以使用官方的debian鏡像來完成會更安全。有人知道該怎麼做嗎？

debsums: missing file /usr/include/openssl/x509_vfy.h (from libssl-dev:amd64 package)
debsums: missing file /usr/include/openssl/x509v3.h (from libssl-dev:amd64 package)
/usr/bin/scp                                                              FAILED
/usr/bin/sftp                                                             FAILED
/usr/bin/ssh                                                              FAILED
/usr/bin/ssh-add                                                          FAILED
/usr/bin/ssh-agent                                                        FAILED
/usr/bin/ssh-keygen                                                       FAILED
/usr/bin/ssh-keyscan                                                      FAILED
/usr/sbin/sshd                                                            FAILED
/usr/bin/rkhunter                                                         FAILED

引用自：https://unix.stackexchange.com/questions/125346