/sbin/init の atime は chkrootkit からのアクセスで変更されているけど、一応 MACtimeを確認してみる。
# stat /sbin/init File: "/sbin/init" Size: 33912 Blocks: 72 Regular File Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root) Device: 302 Inode: 275887 Links: 1 Access: Fri Feb 25 09:16:15 2005 Modify: Fri Dec 12 15:09:47 2003 Change: Sat Jan 1 12:43:34 2005
元旦に ctime が変化していますねぇ。なんだろ?覚えてないなぁ・・・
そういえば、犬の人が「Argus!」*1と叫んでいた時にインストールしておいたマシンがあるので、そっちから調べてみようかなぁ。
*1:ArgusはネットワークセキュリティHACKSのP187に書いてありますね