私たちは、Linuxサーバー(Google Compute EngineのDebian wheezyホスト)のルートフォルダに、短時間でランダムな6文字の名前を持つ奇妙なファイルが多数作成されたことを発見しました。
すべてのファイルにはroot / rootおよび0600権限があります。
-rw------- 1 root root 0 Sep 20 06:29 0QOenG
-rw------- 1 root root 0 Sep 20 06:33 1z5U2y
-rw------- 1 root root 0 Sep 20 06:43 1zTOzN
-rw------- 1 root root 0 Sep 20 06:34 23XZoM
-rw------- 1 root root 0 Sep 20 06:32 27zsbT
-rw------- 1 root root 0 Sep 20 06:27 2Wm0aJ
-rw------- 1 root root 0 Sep 20 06:41 398ekH
-rw------- 1 root root 0 Sep 20 06:38 3dI8Es
-rw------- 1 root root 0 Sep 20 06:33 3kskdR
-rw------- 1 root root 0 Sep 20 06:37 3lWyRD
-rw------- 1 root root 0 Sep 20 06:33 3PX7Fx
-rw------- 1 root root 0 Sep 20 06:32 3RDbjb
-rw------- 1 root root 0 Sep 20 06:33 43yJsH
-rw------- 1 root root 0 Sep 20 06:27 4_Efvb
-rw------- 1 root root 0 Sep 20 06:30 4hAx0N
-rw------- 1 root root 0 Sep 20 06:43 4Oljiz
-rw------- 1 root root 0 Sep 20 06:33 4OR5Pi
-rw------- 1 root root 0 Sep 20 06:42 4TmJLl
-rw------- 1 root root 0 Sep 20 06:29 4YFfes
-rw------- 1 root root 0 Sep 20 06:31 5451XV
-rw------- 1 root root 0 Sep 20 06:30 569_O4
-rw------- 1 root root 0 Sep 20 06:37 57kOaP
-rw------- 1 root root 0 Sep 20 06:39 5Alljw
-rw------- 1 root root 0 Sep 20 06:42 5_ucGQ
-rw------- 1 root root 0 Sep 20 06:27 5x4ctz
-rw------- 1 root root 0 Sep 20 06:35 60nv0J
-rw------- 1 root root 0 Sep 20 06:32 68ir6n
-rw------- 1 root root 0 Sep 20 06:37 6BnyKZ
-rw------- 1 root root 0 Sep 20 06:41 6JOkrT
-rw------- 1 root root 0 Sep 20 06:38 6wFyZl
-rw------- 1 root root 0 Sep 20 06:41 6WW7nj
-rw------- 1 root root 0 Sep 20 06:33 6YYyta
-rw------- 1 root root 0 Sep 20 06:35 7N9JJU
-rw------- 1 root root 0 Sep 20 06:42 7uVRTI
-rw------- 1 root root 0 Sep 20 06:29 8r071y
-rw------- 1 root root 0 Sep 20 06:34 8yT2UG
-rw------- 1 root root 0 Sep 20 06:40 9e30rd
-rw------- 1 root root 0 Sep 20 06:35 9JvGnk
-rw------- 1 root root 0 Sep 20 06:32 9sJWOd
-rw------- 1 root root 0 Sep 20 06:30 9ud9NZ
-rw------- 1 root root 0 Sep 20 06:30 9yslgU
ところで、ファイル作成時にはログファイルの容量が大きく、ブートディスクがほとんどいっぱいになっていました。大容量ログファイルを削除した後、奇妙なファイルは作成されなくなります。
PS。サーバーでは、次のサービスが実行されています。
mongodb, postgresql, redis, activemq, 流動的
誰がこのファイルを作成したのかを説明できますか?
答え1
このファイル名パターンは標準です。mktemp
(またはmkstemp
)関数、最も単純なテンプレートが渡されるとき("XXXXXX"
ルートディレクトリで実行されたとき)。したがって、これはほとんどすべてのプログラムになることができます。
プログラムがこれを停止すると、どのプログラムが犯人であるかを完全に判断することはできません。ただし、プログラムがまだこのタスクを実行している可能性が高く、もしそうならすぐに見つけることができます。
このプログラムには明らかにバグがあります。これは、生成すべきではない一時ファイルをたくさん生成するためです。ディスクがいっぱいになったときにファイルが表示されると、プログラムは実際にこれらの一時ファイルを頻繁に作成する可能性が高くなりますが、一般的な作業では、そのファイルをコンテンツで埋めて処理し、最後に削除します。ディスクがいっぱいになると、充填フェーズは失敗しますが、プログラムはエラーを正しく回復できないため、ファイルは削除されません。
あなたはそれを使用することができますLinux用監査ツールディレクトリの活動を観察します。auditd
時計がインストールおよび設定されていることを確認してください。ルートディレクトリ自体から(再帰的な時計ではありません!):
auditctl -a exit,always -F path=/
/var/log/audit/audit.log
プロセスがルートディレクトリに書き込んでいる間にログメッセージが表示されます。通常の操作ではこれはほとんど発生しないため、問題のあるプロセスが目に見えます。