Всем добра
Ситуация следующая:
стали удалятся файлы из директории /var/www/html (все) в которую установлен FreePBX 12.0
По логам доступа кроме меня в систему никто не заходил (last)
В кроне кроме freepbx-cron-scheduler.php ничего нет (выполняется каждый час)
В top ничего подозрительного не заметил.
Как отследить кто удаляет файлы и по какой причине? Предполагаю 2 варианта:
1) сам FreePBX обновляется но как-то криво и все удаляет
2) в системе засел зловред
Куда копнуть чтобы отследить...
Пока ползал - файлы снова удалились
Посмотрел lsof что там происходит и выловил кучу событий на подобие этого
httpd 11538 asterisk DEL REG 252,3 3015321 /var/www/html/admin/modules/asteriskinfo/i18n/ru_RU/LC_MESSAGES/asteriskinfo.mo
Как теперь через /proc или lsof отследить какой процесс инициировал эти действия?
К примеру я доавлю cron-событие на подобие
/var/www/html IN_DELETE_SELF
и что дальше? Как мне проследить с помощью inotify кто именно совершил удаление файлы/директории из отслеживаемого пути
На сколько я понял из документации оно логирует только события связанные с шеллом и кроном
Мне нужно что-то на подобие lsof - выловить родительский процесс инициализировавший цепочку событий
