运行 Apache HTTPD 服务器(和 Wordpress 站点)的 CentOS7 服务器正在接受定期扫描扫描仪。这会导致内核恐慌:
Kernel panic - not syncing: audit: backlog limit exceeded
我打电话aureport -ts today发现有超过 7000 个失败的系统调用。
ausearch --start today -m syscall -sv no --raw | aureport -x --summary
返回:
Executable Summary Report
=================================
total file
=================================
Warning - freq is non-zero and incremental flushing not selected.
7678 /usr/sbin/httpd
35 /usr/sbin/chronyd
7 /usr/libexec/mysqld
有没有办法从 httpd 查看特定的失败系统调用?我确信所有这些都与相关,wpscan但我很好奇到底发生了什么导致每个系统调用失败。
答案1
尝试这样的事情:
aureport --syscall | fgrep httpd | tail
查看每行的最后一列,应该是一个数字(例如 5432),因此取该数字并像这样扫描审计日志:
ausearch --event 5432
您可以以几乎难以阅读的格式查看详细信息,但至少您可以获取有关文件名及其尝试访问的内容的一些线索。每个数字都是对单个事件的引用,因此您可能需要自己解决这些问题。