Страницы

Поиск по вопросам

суббота, 14 декабря 2019 г.

Как узнать какой скрипт/программа создает определенную папку на сервере?

#linux #nginx #centos #безопасность 


В корне сайта периодически появляется папка temp с непонятными файлами. Я думаю что
это какой-то шелл создает его чтобы заполнить память диска. Я его удаляю, а на следующий
день он заново создается и в нем снова непонятные файлы. 

Поискал в сети что это может быть за папка. Узнал что многие программы создают его
для отчетов и прочих данных. Как я могу уточнить это серверная программа делает это
или на сервер залит шелл?

Например файл example.com/temp/u/d3d3LmZsYXRvdXIuY29tL215YWR2cy9ydS8%3D.tx‌​t содержит
лишь строку

dHJlYXN1cmV0b3duLzQ1NDg3NDUyOTQzMjMv


И эта папка состоит только из таких файлов.
Сервер у меня Centos6, VPS, панель ISPmanager, включен nginx, memcached, clamav.


Ответы

Ответ 1


Можно попробовать запустить команду lsof, которая отображает какая программа в данный
момент открыла файл. Работает так:

$ lsof /path/to/file


Можно запустить с периодом в 1 секунду:

$ lsof -r1 /path/to/file


Ну и логгировать это всё в файл. Если держать при этом открытой ssh сессию не хочется,
то можно использовать какой-нибудь gnu screen или подобную программу.

Если программа отрабатывает слишком быстро и по этим логам её поймать не получится,
то можно сделать ну совсем костыльно запускать как можно чаще

$ while true; do lsof /paht/to/file; done;


Ответ 2


Вам может помочь пакет auditd.
Пример:

# auditctl -w /temp
# mkdir /temp
# mkdir /temp/u
# ausearch -f /temp
----
time->Mon Aug 29 16:32:43 2016
type=CONFIG_CHANGE msg=audit(1472473963.517:46): auid=4294967295 ses=4294967295 op="updated_rules"
path="/temp" key=(null) list=4 res=1
----
time->Mon Aug 29 16:32:43 2016
type=PROCTITLE msg=audit(1472473963.489:47): proctitle=6D6B646972002F74656D70
type=PATH msg=audit(1472473963.489:47): item=1 name="/temp" inode=10691 dev=08:03
mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=CREATE
type=PATH msg=audit(1472473963.489:47): item=0 name="/" inode=2 dev=08:03 mode=040755
ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=CWD msg=audit(1472473963.489:47):  cwd=2F686F6D652F73657267696F2F456CC59D75746F6A
type=SYSCALL msg=audit(1472473963.489:47): arch=40000003 syscall=39 success=yes exit=0
a0=bf82f7a3 a1=1ff a2=bf82f7a3 a3=bf82ee64 items=2 ppid=22390 pid=24813 auid=4294967295
uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts8 ses=4294967295 comm="mkdir"
exe="/bin/mkdir" key=(null)
----
time->Mon Aug 29 16:34:21 2016
type=PROCTITLE msg=audit(1472474061.417:71): proctitle=6D6B646972002F74656D702F75
type=PATH msg=audit(1472474061.417:71): item=1 name="/temp/u" inode=10693 dev=08:03
mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=CREATE
type=PATH msg=audit(1472474061.417:71): item=0 name="/temp/" inode=10691 dev=08:03
mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=CWD msg=audit(1472474061.417:71):  cwd=2F686F6D652F73657267696F2F456CC59D75746F6A
type=SYSCALL msg=audit(1472474061.417:71): arch=40000003 syscall=39 success=yes exit=0
a0=bfe2c7a1 a1=1ff a2=bfe2c7a1 a3=bfe2a9a4 items=2 ppid=22390 pid=24846 auid=4294967295
uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts8 ses=4294967295 comm="mkdir"
exe="/bin/mkdir" key=(null)

Автор: на
Ярлыки: , , , ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)