関連:
https://serverfault.com/questions/748417/something-renames-files-to-filename-ext-suspected
https://stackoverflow.com/questions/32835796/php-file-automatically-renamed-to-php-suspected
Linuxを実行しているWebホスティングサーバーを持つ顧客がいますが、その顧客もこの問題に直面しました。これはいいえWordPressサイト。しかし、彼は同じサーバー上でWordPressサイトを運営しています。
私たちは皆、この問題を知っていて、これらのファイルの中にはマルウェアのコンテンツが含まれていました。しかし、埋め込まれたファイルを読み取ることができず、Webサイトの機能に影響を与えるいくつかの誤解もあったので、彼は私に追跡を求めました。インストールされているソフトウェアのどの部分がこれを実行し、それをブロックするかです。
問題は100%確信できないということです。何名前が変更された理由と理由。私疑うclamav / amavisは彼らの使命に属していますが、cron
毎週スキャンの原因が何であるかはまったく考えませんでした...
ベストアンサー1
ファイル変更監査メカニズムを使用してください。ロギングファイルシステムまたはLinux監査サブシステム。また、見ることができますどのプロセスがファイルを生成するかを確認する方法は?、すべてのSUIDプログラムへのすべての呼び出しを記録しますか?、AuditdでIdiot01を倒す...
サーバーがLinuxを実行していると仮定すると、監査システムは最良の解決策のように見えます。関連ディレクトリツリーにすべてのファイル名の変更操作を記録します。例/var/www
:
auditctl -a exit,always -S rename -F dir=/var/www
監査ログは通常にあります/var/log/audit/audit.log
。以下は、上記のルールcd /var/www; mv foo bar
のサンプルログです。
type=SYSCALL msg=audit(1489528471.598:669): arch=c000003e syscall=82 success=yes exit=0 a0=7ffd38079c14 a1=7ffd38079c18 a2=20 a3=7ffd38077940 items=4 ppid=5661 pid=5690 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts11 ses=1 comm="mv" exe="/bin/mv" key=(null)
type=CWD msg=audit(1489528471.598:669): cwd="/var/www"
type=PATH msg=audit(1489528471.598:669): item=0 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=1 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=2 name="foo" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=DELETE
type=PATH msg=audit(1489528471.598:669): item=3 name="bar" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=CREATE