Возможно-ли изменить файл задним числом в linux?

Question

[Дмитрий Куликов]

Здравствуйте, сегодня заметили на сайте небольшой вирус, он делал переадрессацию при определенных условиях, первым делом я посмотрел возвращаемый код страницы, но там было пусто, следовательно пошел искать проблему в подключаемых файлах, и удивился, последний файл изменялся более месяца назад, а вирус появился всего пару дней. В итоге код был найден, а дата последнего изменения файла была равна 31.07.2014, как такое может быть? И куда копнуть чтоб не допустить такого в дальнейшем?

Answer 1

[Konstantin Kruglov]

Легко

$ touch f122
$ ll f122 
3147683 -rw-rw-r-- 1 kruglov kruglov 0 Jul 14 10:49 f122
$ touch -t 06090911 f122 
$ ll f122 
3147683 -rw-rw-r-- 1 kruglov kruglov 0 Jun  9 09:11 f122

Чтоб следить нужно написать свой скрипт, который будут сверять хеш файлов. Залили проект, сделали снимок, потом постоянно проверять. Если что автоматом обновить на оригинал и сообщить на мыло о безобразии. Ну или что-то вроде IDS - сиcтемы обнаружения вторжений.

Comments

[Adamos]

Если это рабочий проект, то git должен быть уместнее "своего скрипта".
Ну, правда, если файлы правятся админом через CMS, аккуратные решения бессильны.

[Максим Мосейчук]

Adamos: Konstantin Kruglov на боевом сервере файловая система read-only должна быть. А если был получен root, то сносить всё начисто.

[Konstantin Kruglov]

fshp: Идея хорошая. Есть примеры реализации?

[Максим Мосейчук]

Konstantin Kruglov: "mount -o remount,ro /"

[Максим Мосейчук]

fshp: логи на отдельной rw fs

[Максим Мосейчук]

fshp: дело в том, что сверка хешей возможна лишь на другой, заведомо чистой, машине. Т.к. на сервере могли быть инфицированы md5sum/sha1sum или другие утилиты. Злоумышленники получили рут - дамп базы, формат диска. Без вариантов. Ro fs лишь спасёт от простых эксплойтов, от рута не спасёт.

[Konstantin Kruglov]

fshp: Да нет, я про то кто/где/когда использовал(ует). Я впервые слышу про подобный подход.

[Максим Мосейчук]

Konstantin Kruglov: в docker есть поддержка ro-контейнеров

[Максим Мосейчук]

Konstantin Kruglov: сам я ни разу не админ, так что что-то более конструктивное сказать не могу. Но использование ro-rootfs в linux никаких проблем не создаёт.

[Konstantin Kruglov]

fshp: Надо будет попробовать ))

[Дмитрий Куликов]

А выпилить себя из улиты last возможно? Так как если верить ей то на сервер захожу только я, и тут вопрос либо эксплойт был загружен давно, либо кто то хорошо шифруется

[Konstantin Kruglov]

Дмитрий Куликов: last читает файл /var/log/wtmp, значит его можно править...

Answer 2

[Станислав Фатеев]

$ man touch

...
       -d, --date=STRING
              parse STRING and use it instead of current time
...

Короче: touch -d 20140731 /path/to/file делает то, что вы описали

Answer 3

[Игорь]

Быть может вам подойдёт Tripwire?
* Сканирует файлы, вычисляет хэш, хранит в базе, бдит за изменениями =)

Comments

[Дмитрий Куликов]

Спасибо за совет, но сейчас пытаюсь понять что именно изменяет файл, нашел проблему но от куда растут ноги понять не могу