我在服务器上有一个文件夹,里面有一个网站。 服务器已经被切断了,但是一段时间之后,几乎没有文件夹被自动创build,每个文件夹里面都有一些可疑的文件。
我已经检查过所有用户的Cron作业,没有任何事情正在通过Crons。 我试图检查使用Inotify工具的系统调用文件夹后,我得到了这个结果:
./Lq1Lbs/ MODIFY index.html ./Lq1Lbs/ CLOSE_WRITE,CLOSE index.html ./nmt08u/ MODIFY index.html ./nmt08u/ OPEN index.html ./nmt08u/ ATTRIB index.html ./nmt08u/ ATTRIB index.html ./nmt08u/ MODIFY index.html ./nmt08u/ CLOSE_WRITE,CLOSE index.html 但是我需要知道哪个Exact实用工具,脚本,用户或者什么创build了文件夹和文件。 我已经尝试了tripwire,ossec,AIDE,他们都只是通知创build/删除或修改文件,但并没有告诉我哪个确切的脚本,文件,脚本或工具做了这个动作。 有可能知道吗?
总之,哪个进程更改或创build了哪个文件/文件夹,那就是我想知道的。 谢谢
唯一可行的方法是使用Liunx审计框架(LAF)。 请查看此快速入门文档,了解如何处理您的问题。
事实上我不知道这样做,但审计守护进程可以捕获这些信息。
configurationauditd来监视/etc/passwd :
auditctl -w /etc/passwd -p war -k password-file
查看谁修改了/etc/passwd :
ausearch -f /etc/passwd -i
这是非常强大的,还有更多的比以上。
Linux审计文件以查看谁对文件进行了更改
在Unix / Linux站点上 ,这个Q&A提出的一个方法是将Linux的inotify子系统和lsof命令结合起来。 后者列出了所有打开的文件句柄。 如果您在创build或修改有趣的文件时立即触发了lsof ,那么您很有可能抓到罪魁祸首。 但是,不能保证 – 如果进程尽快写入文件并在之后立即退出,则此方法将不起作用。