我正在尝试跟踪服务器中的某些后门,每天都在创建或修改新文件,并且读取访问日志,我只能找到通过Web请求这些文件的IP地址。
由于我在FTP消息日志中找不到任何内容,我正在考虑如何跟踪文件创建。
我可以在etc/profile.d中设置自定义脚本,每次用户通过ssh登录时,都会向我发送警报。
但是,我想知道是否有任何方法在创建或修改文件时是否有任何方式发送类似的电子邮件警报,此外,是否可以获取可以进行这些更改的IP地址。
如果有人知道如何创建这些警报会很棒,这将有助于许多人在网站上与恶意软件作斗争。
非常感谢您的帮助
您可以使用inotify。但是我通常更喜欢解决这种疾病,而不是症状。即,跟踪您被黑客入侵并没有帮助您不会被黑客入侵。保护您的系统。
- 确保您的系统是最新的。
- 关闭所有未使用/不需要的守护程序。
- 运行使用"全部拒绝然后允许所需的东西"设计的防火墙。
- 确保运行Web服务器进程的用户没有对其提供的文件的写入访问权限。