Версия Trojaned файла “egrep” обнаруженный OSSEC HIDS
Я установил последнюю стабильную версию OSSEC (2.8.1), и я также включил уведомления по электронной почте, и сегодня я получил это предупреждение по электронной почте:
OSSEC HIDS Notification.
2015 Apr 03 17:40:26
Received From: Bath-Towel->rootcheck
Rule: 510 fired (level 7) -> "Host-based anomaly detection event (rootcheck)."
Portion of the log(s):
Trojaned version of file '/bin/egrep' detected. Signature used: 'bash|^/bin/sh|file\.h|proc\.h|/dev/|^/bin/.*sh' (Generic).
--END OF NOTIFICATION
Это - что-то для волнения по поводу, и раз так затем, что я должен делать с этим?
Информационное обновление:
Это - содержание файла /bin/egrep:
#!/bin/bash
grep=grep
case $0 in
*/*)
dir=${0%/*}
if test -x "$dir/grep"; then
PATH=$dir:$PATH
grep=grep
fi;;
esac
exec $grep -E "$@"
Информация об ОС:
Description: Ubuntu 14.10
Release: 14.10
2
задан
3 April 2015 в 21:18
поделиться
1 ответ
У меня есть OSSEC, установленный приблизительно на 14,04 серверах, но я никогда не получал такое уведомление.
оказывается, что, пока Ubuntu 14.04 /bin/egrep не исполняемый файл ELF, но в 14,10 и позже это - сценарий оболочки. Вероятно, OSSEC не был обновлен все же для отражения этого изменения.
2
ответ дан Eric Carvalho
3 April 2015 в 21:18
поделиться