Instale auditd
e execute:
sudo auditctl -a exit,always -F arch=b64 -S fchmod -S chmod -S fchmodat \
-F path=/dev/null -k dev-null-chmod
sudo auditctl -a exit,always -F arch=b32 -S fchmod -S chmod -S fchmodat \
-F path=/dev/null -k dev-null-chmod
Você encontrará o culpado na saída de:
sudo ausearch -ik dev-null-chmod
Você verá o nome do comando, pid e pai pid lá. Se o nome do comando for chmod
, provavelmente você desejará saber o que executou esse comando. Se o ppid não estiver mais lá, você também poderá monitorar toda a criação do processo e / ou comandos executados com o sistema de auditoria novamente ou com a contabilidade do processo de bsd.