Hallo zusammen,
bei mir läuft täglich rkhunter durch; heute habe ich folgende Warnung erhalten:
1 2 3 4 5 6 7 8 9 10 11 | Warning: The file properties have changed: File: /usr/bin/ldd Current hash: f1e2ca5aa3a28994e2cebb64c993a72b7d97b28c Stored hash : 295d9cedb121a5e431a39a6d201ecd7ce5640497 Current inode: 45879638 Stored inode: 45875751 Current size: 5280 Stored size: 5279 Current file modification time: 1331165514 (08-Mar-2012 01:11:54) Stored file modification time : 1295653965 (22-Jan-2011 00:52:45) One or more warnings have been found while checking the system. Please check the log file (/var/log/rkhunter.log) |
Offensichtlich sind die File-Eigenschaften am 08.03.12 um genau 01:11:54 geändert worden. Bei mir im Filesystem ist die Datei mit den oktalen Rechten 755 gelistet; Besitzer u. Gruppe ist root. Habe zunächst auf ein Systemupdate getippt, das hatte ich auf den neuen Kernel aber schon am 06.03.12 durchgeführt. Habe mittlerweile glaub ich sämtliche log-Dateien in /var/log durchgesehen, finde aber zum fraglichen Zeitpunkt nichts. Die Dateien /usr/bin/locale und /usr/bin/localedef sind übringens nur eine Minute später geändert worden, also am 08.03.12 um 01:12; das sollte also denke ich zusammenhängen.
Bislang konnte ich Warnungen von rkhunter oder chkrootkit eigentlich immer schnell als Fehlalarm klären; bei dieser hier allerdings suche ich nun schon länger...Hat irgendjemand eine Idee oder einen Tipp?