Überwachen Sie, welcher Prozess eine Datei erstellt

2

Es gibt zwei Linux-Server, einen mit Ubuntu14 und einen mit Centos7. Wenn Benutzer sich mit ssh verbinden und arbeiten, haben wir folgende Dateien gefunden: Bildbeschreibung hier eingeben

Ich konnte keine Tools finden, um herauszufinden, welcher Prozess ihn erstellt. Sind meine Server infiziert?

linux security virus monitoring Hossein Vatani
quelle
Wie wäre es mit diesem Befehl: ls -l file_name.
OOOO
1
@oooo, hast du meine Frage gelesen? Das Bild ist die Ausgabe des ls -lBefehls.
Hossein Vatani

Antworten:

4

Sie können nicht rückwirkend bestimmen, welcher Prozess eine Datei erstellt hat ... Sie müssen das System überwachen, während die Datei erstellt wird.

Verwenden Sie auditd, um Ihnen zu helfen. Führen Sie nach der Installation und Ausführung Folgendes als root aus dem oben aufgeführten Verzeichnis aus:

auditctl -w "$(pwd)/1"
auditctl -w "$(pwd)/=1"

Nachdem Sie festgestellt haben, dass die Datei (en) erstellt oder geändert wurden, führen Sie Folgendes aus:

ausearch -f "$(pwd)"

Sie sollten die Ausgabe mit Datensätzen sehen, die durch Umbrüche ( ----) begrenzt sind.

Ich sehe Folgendes, wenn ich eine Uhr eingerichtet habe /home/attie/testingund sie dann mit toucherstelle / aktualisiere:

time->Mon Sep 10 14:41:07 2018
type=PROCTITLE msg=audit(1536586867.166:1192): proctitle=746F7563680074657374696E67
type=PATH msg=audit(1536586867.166:1192): item=1 name="testing" inode=8442 dev=00:b8 mode=0100644 ouid=1000 ogid=1000 rdev=00:00 nametype=CREATE
type=PATH msg=audit(1536586867.166:1192): item=0 name="/home/attie" inode=4 dev=00:b8 mode=040701 ouid=1000 ogid=1000 rdev=00:00 nametype=PARENT
type=CWD msg=audit(1536586867.166:1192):  cwd="/home/attie"
type=SYSCALL msg=audit(1536586867.166:1192): arch=c000003e syscall=2 success=yes exit=3 a0=7ffc35557634 a1=941 a2=1b6 a3=69d items=2 ppid=25572 pid=31301 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts2 ses=24669 comm="touch" exe="/bin/touch" key=(null)

Beachten Sie die folgenden wichtigen Informationen:

  • type=PATH [...] item=1 name="testing"
  • type=CWD [...] cwd="/home/attie"
  • type=SYSCALL [...] exe="/bin/touch"

Sobald Sie festgelegt haben, was los ist, möchten Sie die Regel (n) entfernen. Dadurch werden alle Regeln gelöscht:

auditctl -D
Attie
quelle
danke @attie, aber ich weiß nicht, in welchem ​​Ordner sie vielleicht erstellt werden. gibt es eine Möglichkeit, alle Verzeichnisse zu steuern? und so ist es Druck Systemleistung?
Hossein Vatani
Oh ... erscheinen sie zufällig? Welches Verzeichnis wurde oben aufgeführt?
Attie
Ja. das obige ist / root. als ich es bekam, erscheint manchmal, in welchem ​​Ordner wir es cd und arbeiten wie ls vim , ...
Hossein Vatani
Ich würde eine Überwachung für ein Verzeichnis einrichten, in dem Sie die Dateien zuvor gesehen haben - z.
Attie
Sind die Dateien immer benannt 1und =1?
Attie