Intereting Posts

观看文件,看看谁访问/写入并logging下来

我正在面对我的networking服务器上的一些恶意软件问题。

我更新了第三方软件,如WordPress的最新版本,禁用rootlogin和我的用户密码足够复杂,但仍然有人或某事正在改变我的index.php文件,添加一些代码,导致许多访问者的浏览器恶意软件警报。

现在由于我无法找出是谁或是在做什么,所以我想着看一个index.php文件,它周期性地改变,所以我可以看到谁在访问它。

我想知道什么程序和用户正在访问它。 有没有可能这样做? 我检查了inotify-tools ,但它似乎只是告诉我有关更改,而不是谁正在改变它,对吗?

我有一个相当不错的经验与包auditd (在apt中find)。 这是一个全面的审计日志logging守护进程。 唯一可能的问题是你肯定需要root权限来安装它。

一些基本的说明可以在http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.htmlfind。

但不是谁在改变它,对吗?

不是真的。

很可能这个网站是通过运行在其上的PHP脚本被远程利用的(AFAIK 目前的Wordpress版本是相当安全的,但有很多第三方插件充满了漏洞)。 如果是这种情况,那么所有你会看到的是你的PHP运行的uid – 然后你需要调整这与你的web服务器日志,以查看攻击可能来自哪里。 但是这有助于你解决问题吗? 我想不是。 (也检查wtmp日志)。

部分解决scheme可能是确保所有文件都不能被PHP uid写入。 这提供了一些保护 – 但是你将失去对文件如何被修改的可见性。

如果是我,我会采用inotify / log的协调方式 – 但我想find这个漏洞并将其消除。

如果它是一个窗口框,你可以在该目录上启用审计。

IIS: http : //blogs.msdn.com/b/webtopics/archive/2010/03/19/iis-7-5-how-to-enable-iis-configuration-auditing.aspx

Server 2008和GPO: http : //social.technet.microsoft.com/Forums/en-US/winserverfiles/thread/da689e43-d51d-4005-bc48-26d3c387e859/