Задать вопрос
KolyaniuS
@KolyaniuS
безнадежный оптимист

Как понять кто удаляет файлы?

Всем добра
Ситуация следующая:
стали удалятся файлы из директории /var/www/html (все) в которую установлен FreePBX 12.0
По логам доступа кроме меня в систему никто не заходил (last)
В кроне кроме freepbx-cron-scheduler.php ничего нет (выполняется каждый час)
В top ничего подозрительного не заметил.
Как отследить кто удаляет файлы и по какой причине? Предполагаю 2 варианта:
1) сам FreePBX обновляется но как-то криво и все удаляет
2) в системе засел зловред
Куда копнуть чтобы отследить...
  • Вопрос задан
  • 3685 просмотров
Подписаться 8 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 5
3vi1_0n3
@3vi1_0n3
Попробуйте auditd
Ответ написан
KolyaniuS
@KolyaniuS Автор вопроса
безнадежный оптимист
Пока ползал - файлы снова удалились
Посмотрел lsof что там происходит и выловил кучу событий на подобие этого

httpd 11538 asterisk DEL REG 252,3 3015321 /var/www/html/admin/modules/asteriskinfo/i18n/ru_RU/LC_MESSAGES/asteriskinfo.mo
Как теперь через /proc или lsof отследить какой процесс инициировал эти действия?
Ответ написан
Комментировать
Ernillew
@Ernillew
Администрирую *nix-системы с 1997 года
Ingtar
@Ingtar
habrahabr.ru/post/92020
Я такой пользовался, для отладки самое то
Ответ написан
merryjane
@merryjane
Системный администратор
Либо auditd настраивать, что не сильно просто:
linoxide.com/how-tos/auditd-tool-security-auditing
либо snoopy, что значительно проще:
https://debian.pro/1142
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы