单一文件更改:入侵还是损坏？

Question

rkhunter报告了虚拟服务器上的单个文件更改(netstat二进制文件)。它没有报告任何其他警告。更改不是包升级的结果(我重新安装了它，校验和和以前一样)。

我想知道这是文件破坏还是入侵。我猜入侵会改变rkhunter监视的许多其他文件(如果入侵者能够访问rkhunter的数据库，则不会改变)。

我用objdump -d分解了两个二进制文件，并在这里存储了diff：https://gist.github.com/3972886

使用objdump -s生成的完全转储差异如下：https://gist.github.com/3972937

我猜文件损坏会改变大块或单位，而不是像这样的小块。

这些变化看上去可疑吗？我怎么能调查更多呢？

系统正在运行Debian压缩程序。

Answer 1

我检查了其中的几个，它们似乎都是单位错误。此时，我将考虑替换硬盘，使用RAID/ZFS等。

Answer 2

我同意这不是入侵，而是某种硬件错误。

我还会考虑是否有一个失败的RAM棒，并在主机服务器上运行一个memtest86 -单位错误也可能是非ECC错误。如果您有ECC，您可以排除这种情况(当然，每个服务器都应该使用ECC，最好是使用ZFS来检测RAM和磁盘损坏)。

这也可能是磁盘控制器错误。

通常，值得检查您的日志是否存在控制器和磁盘错误，并试图隔离位翻转的原因--它是否仅在一个磁盘上发生，如果您交换RAM条等，是否仍会发生这种情况？

如果您有一个备份工具来对数据块或文件进行校验和，那么它的作用有点像ZFS，可以检测到比单个文件更广泛的损坏。

如果这是一个重要的服务器，仅仅更换RAM和磁盘将是一个快速的选择，让您可以在一个非关键系统离线测试它们。

CERN研究的一些背景：http://storagemojo.com/2007/09/19/cerns-data-corruption-research/