Determinazione degli script PHP httpd con Auditd

Question

Determinazione degli script PHP httpd con Auditd

#1 da (1 voti)

14

Sfondo

Ho un problema sul mio server in cui un po 'di buchi sta permettendo di scrivere file PHP dannosi su qualsiasi directory scrivibile in tutto il mondo al di sotto della web root. Al momento non provoca alcun danno, perché ho bloccato tutte queste directory dal servire script php (o qualsiasi altra cosa a meno di immagini / video per alcuni di loro) e ricevere una notifica via e-mail non appena viene creato qualcosa in loro, ma ovviamente vuoi ripararlo.

Ho adottato varie misure, come ad esempio verificare che le installazioni di Joomla e Wordpress sul server siano aggiornate, ma continua comunque. C'è un sito client sul server che esegue una versione abbastanza vecchia di un sistema eCommerce, che sospetto possa essere il colpevole.

Domanda

Quindi ho impostato auditd per monitorare tutte queste directory scrivibili in tutto il mondo e attendo che il problema si verifichi di nuovo per raccogliere alcuni registri, ma ho già alcune voci di registro da esaminare dalla normale attività che si è verificata.

È come sospettavo e, naturalmente, quando uno script PHP scrive su un file che mostra tutti auditd per l'exe è /usr/sbin/httpd . Vedere l'output di esempio qui sotto. È potenzialmente possibile avere un'idea di quale sito proviene il problema in base a CWD , ma potrebbe essere modificato e non affidabile. Anche conoscere lo script specifico sarebbe utile.

Quindi mi chiedo, è possibile che auditd registri il nome dello script (edit: o forse lo stack di chiamate) che sta generando l'azione attraverso /usr/sbin/httpd o qualcosa vicino a tali informazioni?

time->Wed Nov 30 14:36:30 2016

type=PATH msg=audit(1480516590.911:180239): item=1 name="/home/web/www.example.com/html/cache/example.php" inode=539842913 dev=08:05 mode=0100644 ouid=48 ogid=48 rdev=00:00 objtype=CREATE

type=PATH msg=audit(1480516590.911:180239): item=0 name="/home/web/www.example.com/html/cache/" inode=539833631 dev=08:05 mode=040777 ouid=634 ogid=634 rdev=00:00 objtype=PARENT

type=CWD msg=audit(1480516590.911:180239): cwd="/home/web/www.example.com/html"

type=SYSCALL msg=audit(1480516590.911:180239): arch=c000003e syscall=2 success=yes exit=36 a0=7f9baf272550 a1=241 a2=1b6 a3=9 items=2 ppid=26483 pid=30957 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm="httpd" exe="/usr/sbin/httpd" key="write_to_open_web_directories"

linux php apache audit centos

posta SuperDuperApps 30.11.2016 - 18:41

fonte

1 risposta

Leggi altre domande sui tag linux php apache audit centos

Google può leggere la mia mente? [chiuso] Crittografia Android L e crittografia iOS 8

score 1 · Answer 1

auditd non può eseguire una traccia di stack o acquisire altre informazioni perché è invocato solo su chiamate di sistema o accesso ai file. La traccia dello stack è accessibile solo dallo spazio utente e richiederebbe lo svolgimento dello stack, che comporterebbe un carico significativo .

Come menzionato nei commenti, puoi aggiungere %P alla configurazione del log di accesso per ottenere PID per la correlazione con auditd , oppure registrare le richieste complete da mod_security .

Potresti anche modificare mod_php o usare LD_PRELOAD per aggiungere informazioni alle richieste pertinenti sul file aperto.