/ usr / bin 및 / bin에서 작성된 다수의 복제 바이너리

약 1 년 동안 운영 된 CentOS 상자가 있습니다. 그것은 중요한 일이 아니며 개인적으로 보증 할 수 없으며 상당히 오래된 PHP 코드가 많이 있습니다. 나는 이것이 문제를 요구한다는 것을 알고있다.

나는 SSH를 강화하고 IPTables 등을 통한 액세스를 제한하기 위해 알고있는 일을했습니다. 오늘 나는 / usr / bin / 및 / bin /에 많은 걱정스러운 파일을 발견했습니다. 이진 복제본처럼 보이는 많은 것들이 20 개월 정도의 속도로 몇 달 동안 생성되었습니다.

-rw-r--r-- 1 root root 47024 Aug 7 2011 chage;4e3f01f7
-rw-r--r-- 1 root root 47024 Aug 7 2011 chage;4e3f1007
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f1e17
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f2c27
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f3a38
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f4846

비슷한 다른 바이너리는 newgrp, gpasswd, lastlog, dig, usleep 및 doexec입니다.

마지막 파일 날짜는 8 월 8 일이므로이 시점까지 로그가 없습니다. 여기에 무슨 일이 있었는지 이해하도록 도와 줄 사람이 있습니까?

왜 그런 일이 일어나고 있는지 말할 수는 없지만 ;타임 스탬프와 비슷한 숫자는 다음과 같습니다.

4e3f01f7 => Sun Aug  7 17:21:59 2011
4e3f1007 => Sun Aug  7 18:21:59 2011
4e3f1e17 => Sun Aug  7 19:21:59 2011
4e3f2c27 => Sun Aug  7 20:21:59 2011
4e3f3a38 => Sun Aug  7 21:22:00 2011
4e3f4846 => Sun Aug  7 22:21:58 2011

(16 진수의 시대 이후의 초). 그들이 거의 정확히 1 분 거리에 있다는 사실에 의해, 나는 아마 cron 일을 의심 할 것입니까?

그들은 또한 같은 크기입니다. 어쩌면 당신은 그들이 일치하는지 확인해야 md5sum합니까? 또는 동일한 파일을 하드 링크 할 수 있다면? (inode 번호를 확인하십시오 stat).