Kurztipp: Liste angepasster RPM-Pakete
Wer sich einen kurzen Überblick darüber verschaffen will, welche Dateien installierter RPM-Pakete angepasst wurden, wird sich erstmal nicht mit AIDE auseinandersetzen wollen - hierfür genügt auch ein kurzes Skript à la:
1#!/bin/sh
2for i in $(rpm -qa|tr "n" " ")
3do
4 RESULT="$(rpm -vV $i)"
5 if [ "$?" != "0" ]; then
6 echo "$i has been changed:"
7 echo "$RESULT"
8 echo ""
9 fi
10done
Natürlich sollte man sich genau anschauen, welche Dateien angepasst wurden - nicht immer verbirgt sich hierunter eine Attacke:
1rootfiles-8.1-6.1.el6.noarch has been changed:
2......... c /root/.bash_logout
3S.5....T. c /root/.bash_profile
4......... c /root/.bashrc
5......... c /root/.cshrc
6......... c /root/.tcshrc
Im obrigen Fall wurde lediglich das Bash-Profil von root angepasst.