我正在将所有的execve记录在一个蜜罐盒中,因此我尝试了解命令.其中有许多都是’bash -c’和一些长的alpha数值,没有用双引号括起来.我怎么能理解我真正在看的东西?
type=execvE msg=audit(1425426965.480:57967): argc=3 a0="bash" a1="-c" a2=6C73202F6574632F696E69742E64207C2067726570202D4520275B302D39612D7A5D7B31307D27207C2061776B20277B7072696E742024317D27207C207861726773206B696C6C616C6C type=execvE msg=audit(1425510362.928:72792): argc=3 a0="bash" a1="-c" a2=6B696C6C616C6C20373737206874747064 type=execvE msg=audit(1425510366.832:72800): argc=3 a0="bash" a1="-c" a2=726D202D66202F746D702F68747470642A type=execvE msg=audit(1425510366.832:72801): argc=3 a0="rm" a1="-f" a2="/tmp/httpd*"
httpd的最后一部分给出了一些指示,但我真的想了解到底发生了什么.
解决方法
派对有点晚,但万一它仍然可以帮助你或其他人搜索…
Linux审计日志实际上并不是直接在原始日志文件中查看 – 它们意味着使用“ausearch”和“aureport”等工具进行查看和分析.许多内容(包括偶数时间/日期戳)以十六进制格式存储,但您可以告诉ausearch解释十六进制内容,以及使用“-i”选项将UID / GID转换为名称.默认情况下,ausearch使用文件“/var/log/audit/audit.log”,但您也可以使用“-if filename”选项查看特定文件.例如,我将您的特定行剪切并粘贴到临时文件,并得到以下结果:
$ausearch -if temp_audit.log -i ---- type=execvE msg=audit(03/03/2015 18:56:05.480:57967) : argc=3 a0=bash a1=-c a2=ls /etc/init.d | grep -E '[0-9a-z]{10}' | awk '{print $1}' | xargs killall ---- type=execvE msg=audit(03/04/2015 18:06:02.928:72792) : argc=3 a0=bash a1=-c a2=killall 777 httpd ---- type=execvE msg=audit(03/04/2015 18:06:06.832:72800) : argc=3 a0=bash a1=-c a2=rm -f /tmp/httpd* ---- type=execvE msg=audit(03/04/2015 18:06:06.832:72801) : argc=3 a0=rm a1=-f a2=/tmp/httpd*
原文地址:https://www.jb51.cc/linux/399660.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。