ファイル名を変更する悪意のあるスクリプトを見つけましたか?

ファイル名を変更する悪意のあるスクリプトを見つけましたか?

SFTPエンドポイントとして使用するサーバーと、定期的にサーバーにアップロードするスクリプトは別の場所にあります。

毎日、特定の時間にアップロードフォルダ内のすべてのファイル名の前に "archive_"文字列が追加されます。

名前が変更されたスクリプトの犯人をどのように追跡しますか?

/var/cronでログを検索し、/etc/cron*でスクリプトを調べ、ホームディレクトリを持つすべてのユーザーのcrontab -eを見て、 'archive' /home、/etc/、/usr grepを実行しました。役に立つ結果が得られませんでした。

答え1

解決しました。サーバーからファイルを抽出するスクリプトは、ファイル名にテキスト文字列を追加して、次に抽出する必要がないファイルとして表示します。

みんなありがとうございます!

答え2

rootどのプログラムが特定のファイルにアクセスしているかは、アクセスまたはsysdig同様のカーネル追跡ツールを介して確認できます。

# sysdig fd.name contains archive_

次に、そのアーカイブファイルのパスに追加の制限を適用する必要があるか、フラグを使用して関心のある-p一致プロセスのプロパティを選択する必要がありますが、実行されるまで待ちます。

関連情報