LINUX.ORG.RU
ФорумGeneral

в audit.log вдруг появились странные записи

 ,


0

1

Всем доброго дня, подскажите по вопросу, пользуюсь auditd для анализа системных событий, ессно для этого читаю audit.log, все было нормально и тут вдруг, ни с того ни с сего строки записи аудита стали выглядеть вот так:

type=SYSCALL msg=audit(1627887699.656:639791): arch=c000003e syscall=42 success=no exit=-115 a0=9c a1=7fe9634d9730 a2=10 a3=0 items=0 ppid=2594 pid=4657 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=(none) ses=3 comm=536F636B657420546872656164 exe=2F7573722F6C69622F66697265666F782F66697265666F78202864656C6574656429 subj=unconfined key=«MYCONNECT» ARCH=x86_64 SYSCALL=connect AUID=«me» UID=«me» GID=«me» EUID=«me» SUID=«me» FSUID=«me» EGID=«me» SGID=«me» FSGID=«me» type=SOCKADDR >msg=audit(1627887699.656:639791): saddr=020001BB89FE3C200000000000000000 SADDR={ fam=inet laddr=137.254.60.32 lport=443 } type=PROCTITLE >msg=audit(1627887699.656:639791): proctitle=2F7573722F6C69622F66697265666F782F66697265666F78002D6E65772D77696E646F77

А именно проблема в строчке exe= Что это за непонятный процесс 2F7573722F6C69622F66697265666F782F66697265666F78202864656C65746564 ??? Эти строчки относятся к процессу firefox и там должно быть /usr/bin/firefox, и так и было обычно, а это что такое сейчас? У кого какие мысли?



Последнее исправление: barmaley99 (всего исправлений: 1)
Ошибка при установки mysql-server
Как правильно отформатировать новый диск. 
perl -E'say pack "H*", "2F7573722F6C69622F66697265666F782F66697265666F78202864656C6574656429"'
# /usr/lib/firefox/firefox (deleted)
anonymous
()
Ответ на: комментарий от barmaley99

То есть эта строка вдруг стала как то зашифрована Perl’ом?

Не зашифрована, а представлена в виде 16-ричных цифр, по две на каждый байт строки. Perl тут используется исключительно в качестве способа быстро преобразовать их обратно в байты.

Почему и зачем?

Например, если бы исполняемый файл был по пути /usr/bin/mc ubj=unconfined key="MYCONNECT" ARCH=x86_64 SYSCALL=connect (именно так, с пробелами и кавычками: на POSIX в пути к файлу нельзя встретить только нулевой байт; хотите развлечься - сделайте touch $(head -c 16 /dev/urandom) и попытайтесь избавиться от полученного файла, но лучше делайте это в /tmp), и его бы показали в логе, не превратив в шестнадцатеричные цифры, лог стало бы невозможно однозначно прочесть.

И что означает (deleted)?

Что исполняемый файл на тот момент был удалён или перезаписан. Например, после обновления пакета.

echo 'main() { for (;;) sleep(100); }' | tcc - -o sleeper
./sleeper & echo $!
# 29226
rm sleeper
ls -l /proc/29226/exe
# lrwxrwxrwx 1 user user 0 авг  2 09:56 /proc/29226/exe -> /home/user/sleeper (deleted)
kill 29226
anonymous
()
Ответ на: комментарий от anonymous

Что исполняемый файл на тот момент был удалён или перезаписан

firefox по тому пути на месте Т.е.видимо фаерфокс установил обновления, перезаписался и прежний файл в записях аудита стал как удаленный что-ли?

barmaley99
() автор топика
Последнее исправление: barmaley99 (всего исправлений: 1)
Ответ на: комментарий от barmaley99

Т.е.видимо фаерфокс установил обновления, перезаписался и прежний файл в записях аудита стал как удаленный что-ли?

Видимо, да.

anonymous
()
Ответ на: комментарий от anonymous

спасибо за подробности, интересно

Для соответствие принципам KISS по идее нужно простые строки размещать as is, а для нулевых байтов и прочей экзотики: в закодированном виде

anonymous
()
Ответ на: комментарий от anonymous

Просто логи аудита не предназначеня для непосредственного просмотра человеком.
Для этого есть команды ausearch и aureport.
Опция -i у ausearch декодирует такие строки, UID’ы, GID’ы, и пр.

bigbit ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Ошибка при установки mysql-server
General
Как правильно отформатировать новый диск.