Ci sono altre tracce nei log di sistema? Sembra strano che qualcuno possa disinfettare in modo così completo un sistema che i registri non mostrano nulla, e tuttavia non individuano Tripwire o almeno ripristinano correttamente i timestamp.

Prova ad aggiornare un pacchetto, e vedi se i file aggiornati hanno il timestamp di quando hai eseguito l'aggiornamento, o il timestamp del file originale all'interno del pacchetto di aggiornamento (questo è tipico di Windows, non così nelle distribuzioni Linux I ' Mi sono familiare, ma d'altra parte non hai detto quale distro stai usando).

Inoltre, puoi confrontare i checksum con quelli di una versione nota della tua stessa distribuzione.

update

pam_systemd.so è stato ufficialmente aggiornato (almeno su un sistema che ho controllato, Ubuntu 14.04-LTS), e la patch è stata pubblicata il giorno in cui hai segnalato:

-rw-r--r-- 1 root root 42864 Feb  1 16:01 /lib/x86_64-linux-gnu/security/pam_systemd.so

Notare che sono in Italia, ma il mio orologio di sistema è in UTC; se sei in Spagna, i nostri file sono stati aggiornati entro trenta minuti l'uno dall'altro .

Quindi la mia ipotesi è che qualcuno abbia avviato il tuo computer almeno due volte (uno a gennaio, uno a febbraio) e se ha effettuato l'accesso o meno, il sistema ha eseguito gli aggiornamenti automatici.

A seconda che si tratti di un laptop o di un desktop, ecc. e se sia stato collegato, è anche possibile che si sia attivato da solo (ho avuto un desktop una volta che l'ho fatto circa una volta ogni due settimane, o in caso di temporali), e poi di nuovo spento da solo dopo alcune ore di inattività.

Ho fatto ciò che hai suggerito e aggiornato alcuni pacchetti e confrontato le date. Sono giunto alla stessa conclusione come hai detto nel tuo aggiornamento:

La data indicata da tripwire dipende dalla data di modifica del pacchetto e non dalla data in cui è stato aggiornato nel mio sistema. Quindi è davvero necessario considerare ancora un attacco dall'esterno? Non è possibile che sia un aggiornamento dopo il 27 febbraio (la data in cui sono tornato) con la data di modifica del pacchetto di prima?

Sono piuttosto basso profilo per chiunque io indovino, in modo che chiunque possa manipolare il mio portatile per l'avvio via internet, molto meno irrompere nel mio appartamento, sembra piuttosto improbabile.

Ma per rispondere alle altre domande, i miei registri sono vuoti o iniziano il 27 febbraio.

kernel log starts 27.feb
syslog starts 07.03
wtmp begins Thu Mar  1 23:31:40 2018
btmp begins Tue Mar 13 23:07:08 2018
auth.log starts 27.02
faillog is completely empty

rispondere alla tua prossima domanda è ubuntu 16.04

Questo estratto proviene da prima dell'aggiornamento:

Modified object name:  /usr/bin/update-notifier

  Property:            Expected                    Observed                    
  -------------        -----------                 -----------                 
* Inode Number         525831                      529894                      
* Size                 57736                       57704                       
* Modify Time          Di 12 Apr 2016 12:44:15 CEST
                                                   Do 18 Jan 2018 13:42:58 CET 
* CRC32                A/JGJG                      D/hJue                      
* MD5                  A94qrwY3famFuyjNRqByy/      AIg7I1UyImK4SMXV/P3IVE  

... e questo è il dopo l'aggiornamento:

Modified object name:  /usr/bin/update-notifier

  Property:            Expected                    Observed                    
  -------------        -----------                 -----------                 
* Inode Number         525831                      527608                      
* Size                 57736                       57704                       
* Modify Time          Di 12 Apr 2016 12:44:15 CEST
                                                   Fr 02 Mär 2018 15:40:49 CET
* CRC32                A/JGJG                      DLot5B                      
* MD5                  A94qrwY3famFuyjNRqByy/      D6A8JWReWbockgtVM8p70R

.. ma per sostenere quella teoria degli attaccanti c'è un'altra cosa: ho trovato un numero di cellulare alieno nel mio account ebay con una password strong e moderata.

Ah e l'unità era rotta, quindi ho provato a ripararlo ma non ci sono riuscito. Ho creato un altro utente e poi è andato tutto bene.

Verifica i tempi di creazione dei file tripwire rilevati come modificati. Scoprirai che erano la conseguenza di un processo di installazione eseguito da te o un lavoro cron .

Se il tuo sistema sarebbe stato piratato da qualcuno che sapeva tripwire non troveresti mai un log di modifica di questo tipo. Preferiresti aver trovato tripwire disinstallato. Non esiste un modo noto per corrompere il database interno tripwire per nascondere le modifiche a causa di un attacco, a meno che la tua chiave principale tripwire sia troppo debole o archiviata in chiaro sullo stesso computer (2 possibilità che sarebbero stupide per qualcuno a conoscenza della sicurezza ).