LINUX.ORG.RU
ФорумAdmin

Залоггировать доступ к файлу

 ,


0

2

Приветствую, ЛОР.

Есть клиент. У клиента есть сайт на Вордпрессе, при том немного подпатченный, то ли агреггатор рекламы то ли я хз что, неважно.

Этот сайт постоянно хачат, добавляя в index.php и .htaccess код, ну и попутно загружая полтора PHP-файла в хомяк.

Все бы ничего, если бы я не зачмодил index.php на рута, и не поставил ему 444. Но оно все равно перезаписалось, из чего я сделал вывод что малварю удалось обжиться на сервере.

Написал скрипт который мониторит изменения index.php и перезаписывает его из index.original, и первое время все работало, а потом этот index.original стал удаляться, из чего я сделал вывод что возможно сервер просто скомпрометирован.

Скажите, а есть вменяемый способ залоггировать действия с файлом ?

Не действия в терминале, или хистори шелла, а именно любые манипуляции с файлом.

Просьба также советовать по логгированию действия с файлом, а не по смене паролей, удалению вордпрессов, и тд.

Спасибо

Кроме аудита очевидный fanotify, который в антивирусах используют. А конкретная утилита fatrace, вроде. Что нужно знать для написания антивируса под Linux (комментарий)

А ограничить даже root можно всякими selinux, но поздно, наверно.

boowai ★★★★ ()
Последнее исправление: boowai (всего исправлений: 1)

Все бы ничего, если бы я не зачмодил index.php на рута, и не поставил ему 444. Но оно все равно перезаписалось, из чего я сделал вывод что малварю удалось обжиться на сервере.

Из чего можно сделать вывод что эта дрянь сидит от рута и может обойти любые попытки себя прибить или засечь.

ya-betmen ★★★★★ ()

агреггатор рекламы

постоянно хачат

Все правильно, это карма.

Dog ()

есть вменяемый способ залоггировать действия с файлом

Сначала, настрой логгирование на другой хост. Затем сделай так:

/etc/systemd/system/statfile@.path:
[Path]
PathChanged=%I
[Install]
WantedBy=paths.target

/etc/systemd/system/statfile@.service:
[Service]
Type=idle
ExecStart=/bin/stat %I

/ в путях передаются как -
systemctl enable --now statfile@-var-www-site-index.php.path

Наблюдай на здоровье :)

bass ★★★★★ ()
Ответ на: комментарий от boowai

Кроме аудита очевидный fanotify

Спс, буду копать.

А ограничить даже root можно всякими selinux, но поздно, наверно.

Мне хотя бы понять, ОТКУДА прилетает. Ладно втупую инжектить код - это уровень малвари от Васяна, с Вротпрессом оно и не удивительно. Ладно от рута выполняться. Но просечь что создан скрипт который восстанавливает из исходника, и прибить сами исходники - это уже смахивает на целенаправленный взлом. Хотя я и сменил пароли \ заблочил юзеров, это ж WHM, там куча всякого гогна от рута выполняется.

windows10 ★★★ ()
Ответ на: комментарий от zemidius

А кому принадлежит каталог то? )

Лохонулся. Таки да.

Ну, кому он еще может принадлежать учитывать Cpanel :)) По вполне понятным причинам закрыть доступ я к нему не могу, поиграю лучше с атрибутами.

windows10 ★★★ ()

chattr +i сомневаюсь чо дрянь настолько умная что снимает этот атрибут :)

anc ★★★★★ ()

Скажите, а есть вменяемый способ залоггировать действия с файлом ?

По канонам, конечно, auditd, selinux и логи на почту. Но этим уже поздно заниматься, судя по всему.

i586 ★★★ ()

Сделай проверку существования файла. Если его нет то загрузку с какого нибудь другого сервера.

XoFfiCEr ★☆☆☆ ()

зачмодил index.php на рута, и не поставил ему 444

чтобы _перезаписать_ файл нужны пермы на директорию. абсолютно насрать какие там пермы на файле и кто владелец.

slowpony ★★★ ()

в зависимости от необходимого скопа и длительности

например, если ты наркоман, то можешь включить аудит всего, но будь готов что 99.9999% иопс будет сожрано логированием (не говоря уже о свободном месте)

slowpony ★★★ ()

попробуй поматчить время модификации файла и записи в акцеслогах, мне думается это будет более эффктивной тратой времени

slowpony ★★★ ()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.