prelinkによりlsなどの基本的なバイナリのmd5sum値が変化してしまう - モーグルとカバとパウダーの日記先日、すんごい焦った事例がありました。 サーバがクラックされると、クラッカーにより/bin/lsや/bin/psなどの基本的なコマンドが置き換えられ、クラックされて置かれたファイルや動いているプロセスだけが見えなくなるようにして、クラックされていることがわからなくなるよう細工させられる場合があります。 そのため、そういったバイナリが置き換えられていないか、定期的にmd5sum値を取って確認するような簡単なチェック機構を入れていました。 (こういった用途にはTripwireのような専用ツールがありますが、あくまで簡易的な確認のためでここでは使っていませんでした。) それが、確認するとmd5sumが先週と違っているという相談を受けました。 環境は CentOS 6.x です。 早速調べてみると、タイムスタンプは変化していないのにmd5sum値は違っていました。 また、md5sum値はサーバ毎に
