Sfondo
Ho un problema sul mio server in cui un po 'di buchi sta permettendo di scrivere file PHP dannosi su qualsiasi directory scrivibile in tutto il mondo al di sotto della web root. Al momento non provoca alcun danno, perché ho bloccato tutte queste directory dal servire script php (o qualsiasi altra cosa a meno di immagini / video per alcuni di loro) e ricevere una notifica via e-mail non appena viene creato qualcosa in loro, ma ovviamente vuoi ripararlo.
Ho adottato varie misure, come ad esempio verificare che le installazioni di Joomla e Wordpress sul server siano aggiornate, ma continua comunque. C'è un sito client sul server che esegue una versione abbastanza vecchia di un sistema eCommerce, che sospetto possa essere il colpevole.
Domanda
Quindi ho impostato auditd
per monitorare tutte queste directory scrivibili in tutto il mondo e attendo che il problema si verifichi di nuovo per raccogliere alcuni registri, ma ho già alcune voci di registro da esaminare dalla normale attività che si è verificata.
È come sospettavo e, naturalmente, quando uno script PHP scrive su un file che mostra tutti auditd
per l'exe è /usr/sbin/httpd
. Vedere l'output di esempio qui sotto. È potenzialmente possibile avere un'idea di quale sito proviene il problema in base a CWD
, ma potrebbe essere modificato e non affidabile. Anche conoscere lo script specifico sarebbe utile.
Quindi mi chiedo, è possibile che auditd
registri il nome dello script (edit: o forse lo stack di chiamate) che sta generando l'azione attraverso /usr/sbin/httpd
o qualcosa vicino a tali informazioni?
time->Wed Nov 30 14:36:30 2016
type=PATH msg=audit(1480516590.911:180239): item=1 name="/home/web/www.example.com/html/cache/example.php" inode=539842913 dev=08:05 mode=0100644 ouid=48 ogid=48 rdev=00:00 objtype=CREATE
type=PATH msg=audit(1480516590.911:180239): item=0 name="/home/web/www.example.com/html/cache/" inode=539833631 dev=08:05 mode=040777 ouid=634 ogid=634 rdev=00:00 objtype=PARENT
type=CWD msg=audit(1480516590.911:180239): cwd="/home/web/www.example.com/html"
type=SYSCALL msg=audit(1480516590.911:180239): arch=c000003e syscall=2 success=yes exit=36 a0=7f9baf272550 a1=241 a2=1b6 a3=9 items=2 ppid=26483 pid=30957 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm="httpd" exe="/usr/sbin/httpd" key="write_to_open_web_directories"