Изменения в файлах из /etc без моего участия

etc, возможный взлом

0

1

Всем привет! На линуксе три месяца, решил немного просветиться вопросами безопасности и защиты от взлома и скачал пару книг по теме. В общем, посчитал контрольные суммы файлов в каталогах /etc и /bin с помощью md5sum, записал в файл. На следующий день сравнил состояние файлов в этих двух каталогах с записанным в файл - в /bin все как было, а в /etc два файла оказались изменены:

44:/etc/mailcap: ПОВРЕЖДЁН и 52:/etc/mtab: ПОВРЕЖДЁН

В книге написано, что файлы в этих каталогах не должны сами по себе меняться. Ну и вопросы: что это за файлы и почему они могли измениться и как узнать что именно в них изменилось? Не думаю, что в моем компе кто-то удаленно копается, но все-таки..

Я на Дебиан.

Ссылка

←	Что делать, если идет DDoS на сервер с сайтом?

Инвайт на Riseup

→

> /etc/mailcap

ещё как меняется, ибо отвечает за типы файлов для майм (Multipurpose Internet Mail Extensions):

MIME media types and programs that process those types

то бишь поставил себе виртуал бокс и получил дописку в файл:

application/x-virtualbox-vbox; VirtualBox %s; test=test -n "$DISPLAY"
application/x-virtualbox-vbox-extpack; VirtualBox %s; test=test -n "$DISPLAY"
application/x-virtualbox-ovf; VirtualBox %s; test=test -n "$DISPLAY"
application/x-virtualbox-ova; VirtualBox %s; test=test -n "$DISPLAY"

или поставил себе wine и получил:

application/x-ms-dos-executable; wine start /unix %s; test=test -n "$DISPLAY"
application/x-msi; wine start /unix %s; test=test -n "$DISPLAY"
application/x-ms-shortcut; wine start /unix %s; test=test -n "$DISPLAY"

/etc/mtab

та это же ссылка на:

pluto@sexmanic:~$ ls -ls /etc/mtab 
0 lrwxrwxrwx 1 root root 19 авг 13 19:55 /etc/mtab -> ../proc/self/mounts

никто тебя не взломал, эти файлы меняются в зависимости от установленного софта и точек монтирования. хотя если ты увидел левый майм от утилиты в /etc/mailcap, которую ты никогда не ставил, то это, безусловно, подозрительно.

например, какой-нибудь сетевой анализатор:

application/vnd.tcpdump.pcap; wireshark %s; test=test -n "$DISPLAY"

anonymous
(05.02.21 05:13:23 MSK)

Ссылка

на тебе в догонку:

https://utcc.utoronto.ca/~cks/space/blog/linux/UbuntuMailcapBasics https://qastack.ru/unix/514078/what-is-etc-mtab-in-linux

anonymous
(05.02.21 05:17:41 MSK)

посчитал контрольные суммы файлов в каталогах /etc

etckeeper

и /bin с помощью md5sum, записал в файл

rpm -V

akk ★★★★★
(05.02.21 08:45:12 MSK)

Ответ на: комментарий от akk 05.02.21 08:45:12 MSK

Я на Дебиан.

rpm -V

пятизвездочники такие пятизвездочники..

aol ★★★★★
(05.02.21 09:05:11 MSK)

Пакет debsums.

Запусти

sudo debsums -a -s

anonymous
(05.02.21 09:35:14 MSK)

Ответ на: комментарий от anonymous 05.02.21 09:35:14 MSK

на /etc дебсумс не эрергирует, ибо нефих на редактируемые файлы эрергироваться.
да и в *.md5sums отсутствуют хеши файлов прописанных в *.conffiles по той же причине.

pfg ★★★★★
(05.02.21 10:13:39 MSK)