PHPファイル名を.php.suspectedに変更しています。何か知りたいです。

Question

ファイル変更監査メカニズムを使用してください。ロギングファイルシステムまたはLinux監査サブシステム。また、見ることができますどのプロセスがファイルを生成するかを確認する方法は？、すべてのSUIDプログラムへのすべての呼び出しを記録しますか？、AuditdでIdiot01を倒す...

サーバーがLinuxを実行していると仮定すると、監査システムは最良の解決策のように見えます。関連ディレクトリツリーにすべてのファイル名の変更操作を記録します。例/var/www:

auditctl -a exit,always -S rename -F dir=/var/www

監査ログは通常にあります/var/log/audit/audit.log。以下は、上記のルールcd /var/www; mv foo barのサンプルログです。

type=SYSCALL msg=audit(1489528471.598:669): arch=c000003e syscall=82 success=yes exit=0 a0=7ffd38079c14 a1=7ffd38079c18 a2=20 a3=7ffd38077940 items=4 ppid=5661 pid=5690 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts11 ses=1 comm="mv" exe="/bin/mv" key=(null)
type=CWD msg=audit(1489528471.598:669):  cwd="/var/www"
type=PATH msg=audit(1489528471.598:669): item=0 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=1 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=2 name="foo" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=DELETE
type=PATH msg=audit(1489528471.598:669): item=3 name="bar" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=CREATE

Answer 1

ファイル変更監査メカニズムを使用してください。ロギングファイルシステムまたはLinux監査サブシステム。また、見ることができますどのプロセスがファイルを生成するかを確認する方法は？、すべてのSUIDプログラムへのすべての呼び出しを記録しますか？、AuditdでIdiot01を倒す...

サーバーがLinuxを実行していると仮定すると、監査システムは最良の解決策のように見えます。関連ディレクトリツリーにすべてのファイル名の変更操作を記録します。例/var/www:

auditctl -a exit,always -S rename -F dir=/var/www

監査ログは通常にあります/var/log/audit/audit.log。以下は、上記のルールcd /var/www; mv foo barのサンプルログです。

type=SYSCALL msg=audit(1489528471.598:669): arch=c000003e syscall=82 success=yes exit=0 a0=7ffd38079c14 a1=7ffd38079c18 a2=20 a3=7ffd38077940 items=4 ppid=5661 pid=5690 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts11 ses=1 comm="mv" exe="/bin/mv" key=(null)
type=CWD msg=audit(1489528471.598:669):  cwd="/var/www"
type=PATH msg=audit(1489528471.598:669): item=0 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=1 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=2 name="foo" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=DELETE
type=PATH msg=audit(1489528471.598:669): item=3 name="bar" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=CREATE

PHPファイル名を.php.suspectedに変更しています。何か知りたいです。

ベストアンサー1

おすすめ記事