Como verificar qual processo / utilitário / cron criou / modificou um arquivo / pasta no Linux

Question

Como verificar qual processo / utilitário / cron criou / modificou um arquivo / pasta no Linux

#1 resposta do (1 votos)
#2 resposta do (1 votos)
#3 resposta do (0 votos)

4

Eu tenho uma pasta no servidor, que tem um site nela. o servidor foi cortado da internet, mas depois de algum tempo, poucas pastas são automaticamente criadas nele com alguns arquivos suspeitos dentro de cada um deles.

Eu verifiquei as tarefas do Cron para todos os usuários, nada está sendo executado pelos Crons. Depois que eu tentei verificar as chamadas do sistema para a pasta usando ferramentas Inotify, eu obtive este resultado:

./Lq1Lbs/ MODIFY index.html
./Lq1Lbs/ CLOSE_WRITE,CLOSE index.html
./nmt08u/ MODIFY index.html
./nmt08u/ OPEN index.html
./nmt08u/ ATTRIB index.html
./nmt08u/ ATTRIB index.html
./nmt08u/ MODIFY index.html
./nmt08u/ CLOSE_WRITE,CLOSE index.html

Mas eu preciso saber qual utilitário Exact, Script, Usuário ou o que criou as pastas e arquivos nele. Eu já tentei tripwire, ossec, AIDE, todos eles Apenas notificar a criação / deleção ou modificação de arquivo, mas não me diz que script, arquivo, script ou utilitário exato fez essa ação. É possível saber isso?

Em suma, qual processo mudou ou criou qual arquivo / pasta, é isso que eu quero saber. Obrigado

security linux filesystems

por Farhan 16.10.2012 / 16:44

3 respostas

1

Eu não sei como fazer isso após o fato, mas o daemon de auditoria pode capturar esta informação.

Configure o auditd para ver /etc/passwd :

auditctl -w /etc/passwd -p war -k password-file

Verifique quem modificou /etc/passwd :

ausearch -f /etc/passwd -i

É muito poderoso e há muito mais do que apenas o acima.

arquivos de auditoria do Linux para ver quem fez alterações em um arquivo

por 16.10.2012 / 16:58

0

Uma maneira, proposta por este Q & A no Unix / O site Linux , é combinar o subsistema inotify do Linux com o comando lsof . Este último lista todas as alças de arquivos abertos. Se você acionar lsof assim que ocorrer a criação ou modificação de um arquivo interessante, você terá uma boa chance de pegar o culpado. Não há garantia, no entanto - se o processo gravar o arquivo o mais rápido possível e sair imediatamente depois, esse método não funcionará.

por 16.10.2012 / 16:54

Tags security linux filesystems

qual é a melhor configuração multi-servidor com o OpenVPN? Qual ferramenta para monitorar o número de e-mails enviados no Postfix? [fechadas]

score 1 · Accepted Answer

A única abordagem sensata para implementar isso é usar o Liunx Audit Framework (LAF). Verifique este documento de início rápido sobre como abordar seu problema.