Muitos arquivos estranhos com nome aleatório de 6 caracteres são criados na pasta raiz em um curto espaço de tempo

1

Encontramos muitos arquivos estranhos com 6 caracteres aleatórios. Os nomes são criados na pasta raiz em um curto espaço de tempo em nosso servidor linux (Debian wheezy hosting no Google compute engine).

Todos os arquivos estão com permissão root / root e 0600.

    -rw------- 1 root root 0 Sep 20 06:29 0QOenG
    -rw------- 1 root root 0 Sep 20 06:33 1z5U2y
    -rw------- 1 root root 0 Sep 20 06:43 1zTOzN
    -rw------- 1 root root 0 Sep 20 06:34 23XZoM
    -rw------- 1 root root 0 Sep 20 06:32 27zsbT
    -rw------- 1 root root 0 Sep 20 06:27 2Wm0aJ
    -rw------- 1 root root 0 Sep 20 06:41 398ekH
    -rw------- 1 root root 0 Sep 20 06:38 3dI8Es
    -rw------- 1 root root 0 Sep 20 06:33 3kskdR
    -rw------- 1 root root 0 Sep 20 06:37 3lWyRD
    -rw------- 1 root root 0 Sep 20 06:33 3PX7Fx
    -rw------- 1 root root 0 Sep 20 06:32 3RDbjb
    -rw------- 1 root root 0 Sep 20 06:33 43yJsH
    -rw------- 1 root root 0 Sep 20 06:27 4_Efvb
    -rw------- 1 root root 0 Sep 20 06:30 4hAx0N
    -rw------- 1 root root 0 Sep 20 06:43 4Oljiz
    -rw------- 1 root root 0 Sep 20 06:33 4OR5Pi
    -rw------- 1 root root 0 Sep 20 06:42 4TmJLl
    -rw------- 1 root root 0 Sep 20 06:29 4YFfes
    -rw------- 1 root root 0 Sep 20 06:31 5451XV
    -rw------- 1 root root 0 Sep 20 06:30 569_O4
    -rw------- 1 root root 0 Sep 20 06:37 57kOaP
    -rw------- 1 root root 0 Sep 20 06:39 5Alljw
    -rw------- 1 root root 0 Sep 20 06:42 5_ucGQ
    -rw------- 1 root root 0 Sep 20 06:27 5x4ctz
    -rw------- 1 root root 0 Sep 20 06:35 60nv0J
    -rw------- 1 root root 0 Sep 20 06:32 68ir6n
    -rw------- 1 root root 0 Sep 20 06:37 6BnyKZ
    -rw------- 1 root root 0 Sep 20 06:41 6JOkrT
    -rw------- 1 root root 0 Sep 20 06:38 6wFyZl
    -rw------- 1 root root 0 Sep 20 06:41 6WW7nj
    -rw------- 1 root root 0 Sep 20 06:33 6YYyta
    -rw------- 1 root root 0 Sep 20 06:35 7N9JJU
    -rw------- 1 root root 0 Sep 20 06:42 7uVRTI
    -rw------- 1 root root 0 Sep 20 06:29 8r071y
    -rw------- 1 root root 0 Sep 20 06:34 8yT2UG
    -rw------- 1 root root 0 Sep 20 06:40 9e30rd
    -rw------- 1 root root 0 Sep 20 06:35 9JvGnk
    -rw------- 1 root root 0 Sep 20 06:32 9sJWOd
    -rw------- 1 root root 0 Sep 20 06:30 9ud9NZ
    -rw------- 1 root root 0 Sep 20 06:30 9yslgU   

BTW, o disco de inicialização estava quase cheio devido a um arquivo de log grande na época em que os arquivos foram criados. E depois que o arquivo de log grande é excluído, os arquivos estranhos não são mais criados.

PS. Os seguintes serviços são executados no servidor:

mongodb, postgresql, redis, ativemq, fluente

Alguém pode explicar quem criou esses arquivos?

    
por hoozecn 24.09.2015 / 09:43

1 resposta

2

Este padrão de nome de arquivo é padrão para o mktemp (ou mkstemp ) função, quando passou o modelo mais simples possível ( "XXXXXX" durante a execução no diretório raiz). Então, isso pode ser praticamente qualquer programa.

Se o programa parou de fazer isso, é impossível descobrir com absoluta certeza qual programa é o culpado após o fato. No entanto, há uma boa chance de que o programa ainda esteja fazendo isso e, se for, você pode pegá-lo em flagrante.

Este programa é evidentemente defeituoso, já que não deve criar muitos arquivos temporários. Se os arquivos aparecessem enquanto o disco estava cheio, há uma boa chance de que o programa de fato crie freqüentemente esses arquivos temporários; mas sob operação normal, ele os preenche com conteúdo, os processa e, finalmente, os exclui. Quando o disco está cheio, a etapa de preenchimento falha, mas o arquivo não é removido porque o programa não se recupera do erro corretamente.

Você pode usar o recurso de auditoria do Linux para observar a atividade em um diretório. Certifique-se de que auditd esteja instalado e configure um watch no próprio diretório raiz (não é um relógio recursivo!):

auditctl -a exit,always -F path=/

Você receberá mensagens de log em /var/log/audit/audit.log quando um processo gravar no diretório raiz. Isso nunca deve acontecer em operação normal, então o processo problemático se destacará.

    
por 25.09.2015 / 03:39

Tags