LINUX.ORG.RU
ФорумGeneral

Меняется файл. Без изменения даты обновления файла. Как?


0

1

Имеется следующая ситуация:

На сайте Заливают в .htaccess редиректы для мобильных устройств. Установлена cms последней версии. На наличие посторонних файлов, вебшелов, и прочего проверенно все вдоль поперек и потом еще раз по диагонали. Логи apache и ftp прочитал до последней строчки. Ни одного подозрительного обращения к сайту и не одного постороннего коннекта в ftp.

Каждый день чистим файл, записываем время-дату. Каждый день в htaccess появляются одни и те же строки. При этом дата последнего изменения не меняется.

Как такое возможно?



Последнее исправление: RaDiSt (всего исправлений: 1)
запрос sql
Сборка rpm

Ответ на: комментарий от RaDiSt

Насколько я понимаю достаточно быть овнером файла. Ну или иметь права на запись к нему.

roman@notebook:~$ touch file
roman@notebook:~$ ls -l file
-rw-rw-r-- 1 roman roman 0 тра 30 23:00 file
roman@notebook:~$ touch -d 'Jan 01 1970 0:00:00' file
roman@notebook:~$ ls -l file
-rw-rw-r-- 1 roman roman 0 січ  1  1970 file
roman@notebook:~$ chmod 000 file
roman@notebook:~$ touch -d 'Jan 01 1971 0:00:00' file
roman@notebook:~$ ls -l file
---------- 1 roman roman 0 січ  1  1971 file
roman@notebook:~$
Dantix ★★
()
Ответ на: комментарий от Dantix

Попробуй сделать chattr +i файлу, насколько я понимаю без рута это не обойти.

Dantix ★★
() 
roman@notebook:~$ chattr +i file
chattr: Permission denied while reading flags on file
roman@notebook:~$ sudo chattr +i file
[sudo] password for roman: 
roman@notebook:~$ touch -d 'Jan 02 1970 0:00:00' file
touch: cannot touch ‘file’: Permission denied
roman@notebook:~$ rm file
rm: remove write-protected regular empty file ‘file’? y
rm: cannot remove ‘file’: Operation not permitted
roman@notebook:~$ chmod 777 file
chmod: changing permissions of ‘file’: Operation not permitted
roman@notebook:~$ chown root file
chown: changing ownership of ‘file’: Operation not permitted
roman@notebook:~$ sudo rm file
rm: cannot remove ‘file’: Operation not permitted
roman@notebook:~$ chattr -i file
chattr: Permission denied while reading flags on file
roman@notebook:~$ sudo chattr -i file
roman@notebook:~$ sudo rm file

Извините за мульти постинг, не хватает скора редактировать

Dantix ★★
()

При этом дата последнего изменения не меняется.

Не гарант же. По сабжу: вроде selinux позволяет логгировать доступ к файлу. Есть inotify-tools, но там мало инфы: можно время доступа посмотреть.

anonymous
()
Ответ на: комментарий от anonymous

А можно еще на каком-нибудь питоне модуль fuse (костыльно, да) настряпать для одного файла и линк на него.

anonymous
()

В зависимости от свежести ядра:

1) запустить auditd

2) auditctl -w /../.htaccess -p w -k htaccess-write

3) смотреть /var/log/audit/audit.log

4) ???

5) профит

anonymous
()
Ответ на: комментарий от Dantix

Для этого надо иметь root на сервере. А в моем случае это шаред хостинг.

Я про уровень доступа спрашивал, в том смысле, что поломать надо что бы делать такие вещи, web приложение, ftp или нужен shell.

Смена паролей от ftp и ssh не спасает кстати.

RaDiSt
() автор топика
Ответ на: комментарий от Deneb

Ну это можно проверить, создав файл и изменив его.

Dantix ★★
()

timestamp легко меняется, просмотри суммы (md5) пых-пых файлов, возможно шелл прямо в них (то есть в файлах самой cms).

invokercd ★★★★
()
Ответ на: комментарий от invokercd

Если там шел то в логах будут обращения к шелу. В 19 часов чистим файл. Утром проверяем, редиректы появились снова. Просматривал логи построчно. Ни одного подозрительного запроса.

RaDiSt
() автор топика
Ответ на: комментарий от RaDiSt

А как вы отличаете подозрительность? Если например шелл в categories.php, запрос будет выглядеть безобидно. Сверьте суммы, meld умеет это. Кроме того, проверьте cron.

invokercd ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
запрос sql
General
Сборка rpm