服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 我如何findPHP脚本正在更改文件
Intereting Posts
Postfix / Spamassassin不能经常确定rDNS 在使用Ubuntu 12.04重新启动时,文件夹从/ var / run中消失 如何在Debian Lenny机器上设置perl 5.10.1作为所有用户的默认perl(root和系统进程除外)? 免费的SQL Server工具 无法将机器连接到域 RHEL / CentOS重新分配scsi设备字母 使用多个脚本logging所有bash操作 NETGEAR WNR854T无法解决本地子网上的某些名称 MSSQL和Win Server的问题 – 我的问题,或主机? 用backup-manager备份文件是空的 什么是Windows共享的最低权限是匿名只读? 备份MySQL数据库 – 当它仍在使用中时 有什么方法可以协调服务器维护信息与您的团队? 在使用apache2的centos 5.7上,我应该禁用启用了默认模块的列表,以提高性能和安全性。 MySQL“僵尸” – 表:是否安全地删除information_schema中的一行?

我如何findPHP脚本正在更改文件

我已经用mod_php PHP5安装了apache

我已经能够发现,Apache进程正在改变我的.htaccessindex.php文件在/var/www目录。 此目录中的所有文件都由www-data:www-data拥有ug=rwX,o=rX并拥有ug=rwX,o=rX权限。

很明显,一些恶意软件的PHP脚本正在这样做。 我如何find它?

以下是auditd的输出: 

 time->Thu Jun 26 21:15:12 2014 type=PATH msg=audit(1403802912.787:936): item=0 name="/var/www/example/htdocs/index.php" inode=1182278 dev=ca:01 mode=0100404 ouid=33 ogid=33 rdev=00:00 type=CWD msg=audit(1403802912.787:936): cwd="/var/www/example/htdocs" type=SYSCALL msg=audit(1403802912.787:936): arch=c000003e syscall=90 success=yes exit=0 a0=7fac1ef5a128 a1=104 a2=7 a3=7fac0e1490c0 items=1 ppid=12397 pid=22347 auid=4294967295 uid=33 gid=33 euid=33 suid=33 fsuid=33 egid=33 sgid=33 fsgid=33 tty=(none) ses=4294967295 comm="apache2" exe="/usr/lib/apache2/mpm-prefork/apache2" key=(null)

检查您的访问日志时间,也许你可以find那里的东西。