Was würde dazu führen, dass tripwire 11000 Dateien findet, die nur in Blockanzahl geändert wurden?
Bei einem Blick auf die letzten Tripwire-Läufe entdeckte Tripwire vor einer Woche plötzlich 11042 geänderte Dateien, die sich nur in Blockanzahl, nicht in der Größe, CRC32, MD5, Inode oder irgendetwas anderem geändert haben . Alle Dateien, die auf diese Weise geändert wurden und die ich im Tripwire-Protokoll eingecheckt habe, sind acht Blöcke größer. Wenn ich die Dateien ignoriere, die sich nur in Blockanzahl geändert haben, handelt es sich bei allen anderen Änderungen um erwartete Änderungen, von denen ich weiß, dass sie vorgenommen wurden, oder Änderungen wie Protokolldateien.
Im Zusammenhang mit diesem Server ist dieser Server am 19. Juni abrupt fehlgeschlagen. Daher habe ich das Motherboard ausgetauscht, die Festplatten jedoch beibehalten. (Die Festplatten sind alle viel neuer als das Motherboard.) Dieses System befindet sich auf Fedora 23. Der Tripwire-Lauf um 03:00 Uhr am 20. Juni fand keine derartigen Unterschiede. Am 20. Juni habe ich den Computer wieder geöffnet, um eine Netzwerkkarte zu ersetzen, die nach dem Motherboard-Wechsel nicht funktioniert hat. Der Tripwire-Lauf um 3 Uhr morgens am 21. Juni ist der erste, der alle Dateien mit geänderter Blockanzahl erkennt.
rkhunter hat sich über nichts beschwert, was es wert ist.
Angesichts der Tatsache, dass sich für die fraglichen Dateien absolut nichts geändert hat, außer die Anzahl der Blöcke, und dass alle Arten von Objekten um 8 Blöcke größer wurden (Dateien, Verzeichnisse, sogar symbolische Links), bin ich ziemlich sicher, dass dies kein Hacking ist. Aber ich bin nicht zuversichtlich, dass es gutartig ist. Wie kann eine symbolische Verbindung von 0 bis 8 Blöcken gehen? Aber alles scheint gut zu funktionieren.
Was könnte das bewirken? Soll ich mir Sorgen machen? Meine letzte vollständige Sicherung (rsync auf externes Laufwerk) wurde am Abend des 20. erstellt, also höchstwahrscheinlich nachdem sich hier etwas geändert hat. Keine der geänderten Dateien befindet sich in / boot oder / home oder / var (alle sind separate Dateisysteme, was es wert ist). Tatsächlich haben sich nur Dateien auf / auf diese Weise geändert. Das Dateisystem / ist ein RAID-Spiegel, falls das wichtig ist.
0 Antworten auf die Frage
Verwandte Probleme
-
9
Was ist der Unterschied zwischen den Befehlen "su -s" und "sudo -s"?
-
4
Gutes freies Ubuntu Server-VMWare-Image benötigt
-
4
Was sind die Unterschiede zwischen den großen Linux-Distributionen? Werde ich es merken
-
2
Begrenzung der CPU-Auslastung für Flash in Firefox?
-
2
Wie kann ich mein Mikrofon unter Debian GNOME zum Laufen bringen?
-
2
Conky-Setups - Beispiele / Ideen?
-
3
Was sind die Unterschiede zwischen Linux Window Managern?
-
2
ThunderBird / Lichtsynchronisation mit SE k770i
-
4
Linux-Dateisystem
-
6
Vollbild-Flash langsam in KDE 4