Wat voor hackers gaat het om? Zie je simpele SSH-scans in je firewall logs of is het al een aantal keer gebeurd dat er hele websites aangepast zijn? Of iets anders? Dat maakt nogal een verschil.
In de log van rkhunter zie ik niet zoveel bijzonders.
De veranderde sha1sum voor awk komt waarschijnlijk door een recente update. Ik heb zelf het pakket gedownload, uitgepakt en de sha1sum gecontroleerd en die komt overeen met de sha1sum van het bestand uit jouw log.
Hoogstwaarschijnlijk is er met dat bestand niks aan de hand.
Wil je dat zelf controleren, dan kan je hier het pakket downloaden:
http://packages.ubuntu.com/jaunty/gawkKlik dan op de i386 versie. Kies daarna de downloadlocatie en pak het .deb bestand uit in een aparte map. (Met de achiefbeheerder dus, niet met Gdebi)
Pak vervolgens data.tar.gz ook uit. Nu zie je o.a. de bestandsnaam gawk. Die zou hetzelfde moeten zijn als de /usr/bin/awk op je verdachte systeem. Met sha1sum kan je de hashes vergelijken.
Doe dit wel op een systeem waarvan je zeker bent dat die schoon is. Bijvoorbeeld een live cd.
Andere waarschuwingen komen doordat je zelf nieuwe pakketten hebt geïnstalleerd. Rkhunter kan dat niet weten en klaagt terecht over nieuwe gebruikers,groepen en bestanden. Als je zeker weet dat die goed zijn, kan je dat aan rkhunter melden via het --propupd commando.