Número alto de syscalls com falha no httpd

0

Um servidor CentOS7 executando o servidor Apache HTTPD (e um site Wordpress) está passando por uma varredura regular com o wpscan . Isso resulta em um pânico do kernel:

Kernel panic - not syncing: audit: backlog limit exceeded

Eu chamei aureport -ts today e vi que havia mais de 7000 syscalls com falha.

ausearch --start today -m syscall -sv no --raw | aureport -x --summary

retorna:

Executable Summary Report
=================================
total  file
=================================
Warning - freq is non-zero and incremental flushing not selected.
7678  /usr/sbin/httpd
35  /usr/sbin/chronyd
7  /usr/libexec/mysqld

Existe uma maneira de ver syscalls específicos com falha do httpd? Tenho certeza de que tudo isso está relacionado a wpscan , mas estou curioso para ver exatamente o que está acontecendo para fazer com que cada syscall falhe.

    
por a coder 25.10.2017 / 23:48

1 resposta

0

Tente algo assim:

aureport --syscall | fgrep httpd | tail

Veja a última coluna em cada linha, deve ser um número (por exemplo, 5432), então pegue esse número e examine o log de auditoria da seguinte forma:

ausearch --event 5432

Você pode ver detalhes em um formato mal legível, mas pelo menos você pode ter alguma pista sobre nomes de arquivos e o que está tentando acessar. Cada número é uma referência a um evento individual, assim você pode ter que trabalhar o seu caminho através deles.

    
por 20.09.2018 / 04:12