Залоггировать доступ к файлу

0

2

Приветствую, ЛОР.

Есть клиент. У клиента есть сайт на Вордпрессе, при том немного подпатченный, то ли агреггатор рекламы то ли я хз что, неважно.

Этот сайт постоянно хачат, добавляя в index.php и .htaccess код, ну и попутно загружая полтора PHP-файла в хомяк.

Все бы ничего, если бы я не зачмодил index.php на рута, и не поставил ему 444. Но оно все равно перезаписалось, из чего я сделал вывод что малварю удалось обжиться на сервере.

Написал скрипт который мониторит изменения index.php и перезаписывает его из index.original, и первое время все работало, а потом этот index.original стал удаляться, из чего я сделал вывод что возможно сервер просто скомпрометирован.

Скажите, а есть вменяемый способ залоггировать действия с файлом ?

Не действия в терминале, или хистори шелла, а именно любые манипуляции с файлом.

Просьба также советовать по логгированию действия с файлом, а не по смене паролей, удалению вордпрессов, и тд.

Спасибо

Ссылка

←	sshfs с файл-ключем в fstab

LUKS - Вылетает пользователь после вытягивания USB ключа.

→

auditd

bigbit ★★★★★
(09.05.21 14:26:37 MSK)

Кроме аудита очевидный fanotify, который в антивирусах используют. А конкретная утилита fatrace, вроде. Что нужно знать для написания антивируса под Linux (комментарий)

А ограничить даже root можно всякими selinux, но поздно, наверно.

~~boowai~~ ★★★★
(09.05.21 15:04:16 MSK)
Последнее исправление: boowai 09.05.21 15:11:14 MSK (всего исправлений: 1)

Все бы ничего, если бы я не зачмодил index.php на рута, и не поставил ему 444. Но оно все равно перезаписалось, из чего я сделал вывод что малварю удалось обжиться на сервере.

Из чего можно сделать вывод что эта дрянь сидит от рута и может обойти любые попытки себя прибить или засечь.

ya-betmen ★★★★★
(09.05.21 15:13:13 MSK)

Ссылка

агреггатор рекламы

постоянно хачат

Все правильно, это карма.

Dog ★★★
(09.05.21 15:42:18 MSK)

Ссылка

если бы я не зачмодил index.php на рута, и не поставил ему 444

А кому принадлежит каталог то? )

~~zemidius~~ ★
(09.05.21 16:06:02 MSK)

есть вменяемый способ залоггировать действия с файлом

Сначала, настрой логгирование на другой хост. Затем сделай так:

/etc/systemd/system/statfile@.path:
[Path]
PathChanged=%I
[Install]
WantedBy=paths.target

/etc/systemd/system/statfile@.service:
[Service]
Type=idle
ExecStart=/bin/stat %I

/ в путях передаются как -
systemctl enable --now statfile@-var-www-site-index.php.path

Наблюдай на здоровье :)

bass ★★★★★
(09.05.21 19:24:22 MSK)

Ссылка

Ответ на: комментарий от bigbit 09.05.21 14:26:37 MSK

auditd

Спс.

windows10 ★★★★★
(09.05.21 20:01:51 MSK) автор топика

Ссылка

Ответ на: комментарий от boowai 09.05.21 15:04:16 MSK

Кроме аудита очевидный fanotify

Спс, буду копать.

А ограничить даже root можно всякими selinux, но поздно, наверно.

Мне хотя бы понять, ОТКУДА прилетает. Ладно втупую инжектить код - это уровень малвари от Васяна, с Вротпрессом оно и не удивительно. Ладно от рута выполняться. Но просечь что создан скрипт который восстанавливает из исходника, и прибить сами исходники - это уже смахивает на целенаправленный взлом. Хотя я и сменил пароли \ заблочил юзеров, это ж WHM, там куча всякого гогна от рута выполняется.

windows10 ★★★★★
(09.05.21 20:05:15 MSK) автор топика

Ссылка

Ответ на: комментарий от zemidius 09.05.21 16:06:02 MSK

Лорчую вопрос, оп не ответил.

anonymous
(09.05.21 20:29:30 MSK)

Ссылка

Ответ на: комментарий от zemidius 09.05.21 16:06:02 MSK

А кому принадлежит каталог то? )

Лохонулся. Таки да.

Ну, кому он еще может принадлежать учитывать Cpanel :)) По вполне понятным причинам закрыть доступ я к нему не могу, поиграю лучше с атрибутами.

windows10 ★★★★★
(09.05.21 20:35:25 MSK) автор топика

Ответ на: комментарий от windows10 09.05.21 20:35:25 MSK

sticky bit

anonymous
(09.05.21 20:37:42 MSK)

Ссылка

chattr +i сомневаюсь чо дрянь настолько умная что снимает этот атрибут :)

anc ★★★★★
(10.05.21 17:47:31 MSK)

Ссылка

Скажите, а есть вменяемый способ залоггировать действия с файлом ?

По канонам, конечно, auditd, selinux и логи на почту. Но этим уже поздно заниматься, судя по всему.

i586 ★★★★★
(10.05.21 19:40:28 MSK)

Ссылка

поставил ему 444

chattr +i

Ford_Focus ★★★★★
(11.05.21 22:43:15 MSK)

Ссылка

Сделай проверку существования файла. Если его нет то загрузку с какого нибудь другого сервера.

~~XoFfiCEr~~ ★★☆☆
(11.05.21 23:48:35 MSK)

Ссылка

зачмодил index.php на рута, и не поставил ему 444

чтобы _перезаписать_ файл нужны пермы на директорию. абсолютно насрать какие там пермы на файле и кто владелец.

slowpony ★★★★★
(12.05.21 00:13:01 MSK)

Ссылка

в зависимости от необходимого скопа и длительности

например, если ты наркоман, то можешь включить аудит всего, но будь готов что 99.9999% иопс будет сожрано логированием (не говоря уже о свободном месте)

slowpony ★★★★★
(12.05.21 00:14:38 MSK)