A única abordagem sensata para implementar isso é usar o Liunx Audit Framework (LAF). Verifique este documento de início rápido sobre como abordar seu problema.
Eu tenho uma pasta no servidor, que tem um site nela. o servidor foi cortado da internet, mas depois de algum tempo, poucas pastas são automaticamente criadas nele com alguns arquivos suspeitos dentro de cada um deles.
Eu verifiquei as tarefas do Cron para todos os usuários, nada está sendo executado pelos Crons. Depois que eu tentei verificar as chamadas do sistema para a pasta usando ferramentas Inotify, eu obtive este resultado:
./Lq1Lbs/ MODIFY index.html
./Lq1Lbs/ CLOSE_WRITE,CLOSE index.html
./nmt08u/ MODIFY index.html
./nmt08u/ OPEN index.html
./nmt08u/ ATTRIB index.html
./nmt08u/ ATTRIB index.html
./nmt08u/ MODIFY index.html
./nmt08u/ CLOSE_WRITE,CLOSE index.html
Mas eu preciso saber qual utilitário Exact, Script, Usuário ou o que criou as pastas e arquivos nele. Eu já tentei tripwire, ossec, AIDE, todos eles Apenas notificar a criação / deleção ou modificação de arquivo, mas não me diz que script, arquivo, script ou utilitário exato fez essa ação. É possível saber isso?
Em suma, qual processo mudou ou criou qual arquivo / pasta, é isso que eu quero saber. Obrigado
A única abordagem sensata para implementar isso é usar o Liunx Audit Framework (LAF). Verifique este documento de início rápido sobre como abordar seu problema.
Eu não sei como fazer isso após o fato, mas o daemon de auditoria pode capturar esta informação.
Configure o auditd para ver /etc/passwd
:
auditctl -w /etc/passwd -p war -k password-file
Verifique quem modificou /etc/passwd
:
ausearch -f /etc/passwd -i
É muito poderoso e há muito mais do que apenas o acima.
arquivos de auditoria do Linux para ver quem fez alterações em um arquivo
Uma maneira, proposta por este Q & A no Unix / O site Linux , é combinar o subsistema inotify do Linux com o comando lsof
. Este último lista todas as alças de arquivos abertos. Se você acionar lsof
assim que ocorrer a criação ou modificação de um arquivo interessante, você terá uma boa chance de pegar o culpado. Não há garantia, no entanto - se o processo gravar o arquivo o mais rápido possível e sair imediatamente depois, esse método não funcionará.
Tags security linux filesystems