我正在面对我的networking服务器上的一些恶意软件问题。
我更新了第三方软件,如WordPress的最新版本,禁用rootlogin和我的用户密码足够复杂,但仍然有人或某事正在改变我的index.php
文件,添加一些代码,导致许多访问者的浏览器恶意软件警报。
现在由于我无法找出是谁或是在做什么,所以我想着看一个index.php
文件,它周期性地改变,所以我可以看到谁在访问它。
我想知道什么程序和用户正在访问它。 有没有可能这样做? 我检查了inotify-tools
,但它似乎只是告诉我有关更改,而不是谁正在改变它,对吗?
我有一个相当不错的经验与包auditd
(在apt中find)。 这是一个全面的审计日志logging守护进程。 唯一可能的问题是你肯定需要root权限来安装它。
一些基本的说明可以在http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.htmlfind。
但不是谁在改变它,对吗?
不是真的。
很可能这个网站是通过运行在其上的PHP脚本被远程利用的(AFAIK 目前的Wordpress版本是相当安全的,但有很多第三方插件充满了漏洞)。 如果是这种情况,那么所有你会看到的是你的PHP运行的uid – 然后你需要调整这与你的web服务器日志,以查看攻击可能来自哪里。 但是这有助于你解决问题吗? 我想不是。 (也检查wtmp日志)。
部分解决scheme可能是确保所有文件都不能被PHP uid写入。 这提供了一些保护 – 但是你将失去对文件如何被修改的可见性。
如果是我,我会采用inotify / log的协调方式 – 但我想find这个漏洞并将其消除。
如果它是一个窗口框,你可以在该目录上启用审计。
IIS: http : //blogs.msdn.com/b/webtopics/archive/2010/03/19/iis-7-5-how-to-enable-iis-configuration-auditing.aspx
Server 2008和GPO: http : //social.technet.microsoft.com/Forums/en-US/winserverfiles/thread/da689e43-d51d-4005-bc48-26d3c387e859/