我有时会在 /tmp 文件夹中发现可疑文件,并且我的恶意软件检测会将其清除。但是我想找出谁上传了这些文件以及使用了哪些脚本和用户帐户。有没有办法创建一个日志文件,仅将条目连续记录到 /tmp 文件夹,并仅包含该文件夹中每个文件的 IP 和访问时间?
我已尝试在所有其他现有日志中查找条目,但在任何日志文件中都找不到这些条目。
谢谢。
答案1
使用审计子系统找出谁在 /tmp 中创建文件。首先确保审核守护进程 (auditd) 正在运行:
# service auditd status
Redirecting to /bin/systemctl status auditd.service
● auditd.service - Security Auditing Service
Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2017-08-30 03:43:01 EDT; 2 days ago
然后添加一条规则来监视对 /tmp 目录的写入(即文件创建、删除和重命名):
# auditctl -w /tmp -p w -k "tmp"
这会在目录 /tmp 上创建一个监视并将所有写入记录到审核日志中。日志位于 /var/log/audit 中 - 您可以 grep“tmp” 来查找所有条目。