Registrando entradas no CenOs?

Navegue suas respostas
0

Encontrei arquivos suspeitos às vezes na pasta / tmp e minha detecção de malware limpe-a. No entanto, eu queria descobrir quem fez o upload desses arquivos e quais scripts e contas de usuário foram usados para isso. Existe uma maneira de criar um arquivo de log continuamente registrar as entradas na pasta / tmp somente com o ip e o tempo de acesso para todos os arquivos colocados na pasta?

Eu tentei procurar por entradas em todos os outros registros existentes, mas as entradas não foram encontradas em nenhum dos arquivos de registro.

Obrigado.

    
por Nathan 01.09.2017 / 10:35

1 resposta

0

Use o subsistema de auditoria para descobrir quem está criando arquivos em / tmp. Primeiro, verifique se o daemon de auditoria (auditd) está em execução: 

# service auditd status
Redirecting to /bin/systemctl status  auditd.service
● auditd.service - Security Auditing Service
   Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
   Active: active (running) since Wed 2017-08-30 03:43:01 EDT; 2 days ago

Em seguida, adicione uma regra para monitorar gravações no diretório / tmp (que são arquivos create, delete e rename): 

# auditctl -w /tmp -p w -k "tmp"

Isso cria um relógio no diretório / tmp e registra todas as gravações no log de auditoria. Os logs estão em / var / log / audit - você pode procurar por "tmp" para encontrar todas as entradas.

    
por 01.09.2017 / 19:25

Tags

fq_codel - suporta ath9k_htc Como faço para manter um registro de todos os comandos e quanto tempo demorou