Tripwire报告显示了从我休假到在家电脑关机时的修改日期。

Question

Tripwire报告显示了从我休假到在家电脑关机时的修改日期--这怎么可能？

以下是许多例子中的一个：

Modified object name:  /lib/x86_64-linux-gnu/security/pam_systemd.so

  Property:            Expected                    Observed                    
  -------------        -----------                 -----------                 
* Inode Number         14155863                    14156649                    
* Modify Time          Do 12 Mai 2016 11:39:41 CEST
                                                   Do 01 Feb 2018 15:31:23 CET 
* CRC32                B5TykA                      B/R1Fi                      
* MD5                  Ag+rN14JZRydCT88KOuyuX      BAHe4c1qm712mqcpi1k+rI    

在2月1日，我没有靠近我的电脑，我关闭了大约一个月前。我一个月后又回来了。2月份的文件中有近3000处更改。1500年1月变化。我从1月6日离开到2月27日。

Answer 1

系统日志中还有其他痕迹吗？奇怪的是，有人会对系统进行彻底的消毒，以至于日志显示什么都没有，但却没有发现Tripwire，或者至少没有正确地重置时间戳。

尝试更新一个包，看看更新后的文件是否具有运行更新时的时间戳，或者更新包中原始文件的时间戳(这在Windows中是典型的，在我熟悉的Linux发行版中不是这样，但另一方面，您没有说明使用的发行版)。

此外，您还可以将校验和与已知的好版本的相同发行版进行比较。

更新

pam_systemd.so被正式更新(至少在我检查的一个系统Ubuntu14.04-LTS上)，补丁在您报告的当天发布：

-rw-r--r-- 1 root root 42864 Feb  1 16:01 /lib/x86_64-linux-gnu/security/pam_systemd.so

请注意，我在意大利，但我的系统时钟在协调世界时；如果您在西班牙，我们的文件在30分钟内互相更新。

所以我的猜测是有人至少启动了你的电脑两次(一次在一月，一次在二月)，不管他是否登录，系统开始执行自动更新。

取决于它是笔记本电脑还是台式机等等，以及它是否是插上电源的，它甚至有可能是自己打开的(我曾经有过这样的一台台式机，大约每两周开一次，或者在雷雨的情况下)，然后在几个小时的不活动之后，它就会自动关机。

Answer 2

我做了你建议的，升级了几个包，并比较了日期。我得出的结论和你在更新中提到的一样：

tripwire提到的日期依赖于包的修改日期，而不是在我的系统中升级的日期。那么，是否仍有必要考虑从外部发动攻击？它不可能是从2月27日以后的升级(我回来的日期)与包装修改日期之前？

我对任何人来说都很低调，所以任何人都会操纵我的笔记本电脑通过互联网启动，更不用说闯入我的公寓了，这似乎是不太可能的。

但要回答你的其他问题，我的日志要么是空的，要么是从2月27日开始的。

kernel log starts 27.feb
syslog starts 07.03
wtmp begins Thu Mar  1 23:31:40 2018
btmp begins Tue Mar 13 23:07:08 2018
auth.log starts 27.02
faillog is completely empty

下一个问题的答案是ubuntu 16.04

以下是升级之前的摘录：

Modified object name:  /usr/bin/update-notifier

  Property:            Expected                    Observed                    
  -------------        -----------                 -----------                 
* Inode Number         525831                      529894                      
* Size                 57736                       57704                       
* Modify Time          Di 12 Apr 2016 12:44:15 CEST
                                                   Do 18 Jan 2018 13:42:58 CET 
* CRC32                A/JGJG                      D/hJue                      
* MD5                  A94qrwY3famFuyjNRqByy/      AIg7I1UyImK4SMXV/P3IVE  

升级后的...and：

Modified object name:  /usr/bin/update-notifier

  Property:            Expected                    Observed                    
  -------------        -----------                 -----------                 
* Inode Number         525831                      527608                      
* Size                 57736                       57704                       
* Modify Time          Di 12 Apr 2016 12:44:15 CEST
                                                   Fr 02 Mär 2018 15:40:49 CET
* CRC32                A/JGJG                      DLot5B                      
* MD5                  A94qrwY3famFuyjNRqByy/      D6A8JWReWbockgtVM8p70R

..but支持攻击者的理论还有另一件事:我在我的易趣账户里发现了一个外星移动电话号码，里面有一个中等的强密码。

啊，团结被破坏了，所以我试着修复它，但失败了。我创建了另一个用户，然后就很好了。

Answer 3

检查检测为已修改的文件tripwire的创建时间。您会发现它们是您运行的安装过程或cron作业的结果。

如果你的系统被知道tripwire的人盗版，你就永远找不到这样的修改日志了。您宁愿找到已卸载的tripwire。没有已知的方法可以破坏内部tripwire数据库以隐藏由于攻击而造成的修改，除非您的tripwire主键太弱或存储在同一台计算机上(对于具有安全意识的人来说，这是愚蠢的两种可能性)。