有关:
> https://serverfault.com/questions/748417/something-renames-files-to-filename-ext-suspected
> https://stackoverflow.com/questions/32835796/php-file-automatically-renamed-to-php-suspected
我有一个客户与一个运行Linux的虚拟主机服务器谁正在遭受这个问题.它不是一个WordPress网站,虽然他确实在同一台服务器上运行WordPress网站.
我们都知道这个问题,而且其中一些文件确实有恶意软件内容 – 但是,也存在一些误报,它们正在影响网站的运行(通过渲染包含文件不可读),所以他要求我跟踪安装软件的哪个部分正在执行此操作并停止它.
麻烦的是,我不是百分之百确定导致重命名的原因以及原因.我怀疑是clamav / amavis,因为它属于他们的职权范围,但是cron中的任何内容都不会对我产生影响,因为这可能是每周扫描的原因……
解决方法:
使用文件更改审核机制,例如LoggedFS或Linux的audit subsystem.另请参阅How to determine which process is creating a file?,Log every invocation of every SUID program?,Stump the Chump with Auditd 01 …
假设服务器运行Linux,审计系统看起来是最好的解决方案.记录相关目录树中的所有文件重命名操作,例如在/ var / WWW:
auditctl -a exit,always -S rename -F dir=/var/www
审计日志通常位于/var/log/audit/audit.log中.这是来自cd / var / www的示例日志; mv foo bar与上面的规则:
type=SYSCALL msg=audit(1489528471.598:669): arch=c000003e syscall=82 success=yes exit=0 a0=7ffd38079c14 a1=7ffd38079c18 a2=20 a3=7ffd38077940 items=4 ppid=5661 pid=5690 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts11 ses=1 comm="mv" exe="/bin/mv" key=(null)
type=CWD msg=audit(1489528471.598:669): cwd="/var/www"
type=PATH msg=audit(1489528471.598:669): item=0 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=1 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=2 name="foo" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=DELETE
type=PATH msg=audit(1489528471.598:669): item=3 name="bar" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=CREATE
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
