web-dev-qa-db-fra.com

Version cheval de Troie du fichier "egrep" détectée par OSSEC HIDS

J'ai installé la dernière version stable de OSSEC (2.8.1), et j'ai également activé les notifications par courrier électronique et aujourd'hui, j'ai reçu cette alerte par courrier électronique:

OSSEC HIDS Notification.
2015 Apr 03 17:40:26

Received From: Bath-Towel->rootcheck
Rule: 510 fired (level 7) -> "Host-based anomaly detection event (rootcheck)."
Portion of the log(s):

Trojaned version of file '/bin/egrep' detected. Signature used: 'bash|^/bin/sh|file\.h|proc\.h|/dev/|^/bin/.*sh' (Generic).



 --END OF NOTIFICATION

Est-ce quelque chose à craindre, et si oui, que dois-je faire?

Mise à jour des informations:

Voici le contenu du fichier /bin/egrep:

#!/bin/bash
grep=grep
case $0 in
  */*)
    dir=${0%/*}
    if test -x "$dir/grep"; then
      PATH=$dir:$PATH
      grep=grep
    fi;;
esac
exec $grep -E "$@"

Informations sur le système d'exploitation:

Description:    Ubuntu 14.10
Release:    14.10
2
user364819

J'ai OSSEC installé sur certains serveurs 14.04, mais je n'ai jamais reçu une telle notification.

Il s'avère que jusqu'à Ubuntu 14.04 /bin/egrep est un exécutable ELF , mais en 14.10 et versions ultérieures, il s'agit d'un script Shell. Probablement OSSEC n'a pas encore été mis à jour pour refléter ce changement.

2
Eric Carvalho