Мониторинг процесса создания файла

есть два сервера Linux один Ubuntu14, а другой Centos7.
когда пользователи соединяются с ssh и работа, мы нашли некоторые файлы, как показано ниже:
enter image description here

Я не мог найти никаких инструментов, чтобы найти, какой процесс его создает.
заражены ли мои серверы?

13
задан Hossein Vatani
07.12.2022 18:34 Количество просмотров материала 3454
Распечатать страницу

1 ответ

вы не можете ретроспективно определить, какой процесс создал файл... Вы должны следить за системой во время создания файла.

использовать auditd, чтобы помочь вам. После того, как он установлен и работает, запустите следующую команду от имени root из каталога, указанного выше:

auditctl -w "$(pwd)/1"
auditctl -w "$(pwd)/=1"

после того, как вы увидели, что файл(ы) были созданы или изменены, выполните следующее:

ausearch -f "$(pwd)"

вы должны увидеть вывод с записями, разделенными разрывами (----).

Я вижу следующее, установив часы на /home/attie/testing, а затем с помощью touch создать/обновить его:

time->Mon Sep 10 14:41:07 2018
type=PROCTITLE msg=audit(1536586867.166:1192): proctitle=746F7563680074657374696E67
type=PATH msg=audit(1536586867.166:1192): item=1 name="testing" inode=8442 dev=00:b8 mode=0100644 ouid=1000 ogid=1000 rdev=00:00 nametype=CREATE
type=PATH msg=audit(1536586867.166:1192): item=0 name="/home/attie" inode=4 dev=00:b8 mode=040701 ouid=1000 ogid=1000 rdev=00:00 nametype=PARENT
type=CWD msg=audit(1536586867.166:1192):  cwd="/home/attie"
type=SYSCALL msg=audit(1536586867.166:1192): arch=c000003e syscall=2 success=yes exit=3 a0=7ffc35557634 a1=941 a2=1b6 a3=69d items=2 ppid=25572 pid=31301 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts2 ses=24669 comm="touch" exe="/bin/touch" key=(null)

обратите внимание на следующие основные сведения:

  • type=PATH [...] item=1 name="testing"
  • type=CWD [...] cwd="/home/attie"
  • type=SYSCALL [...] exe="/bin/touch"

после того, как вы установили, что происходит, вы хотите, чтобы удалить правило (ы) - это удалит все правила:

auditctl -D
4
отвечен Attie 2022-12-09 02:22

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх