Кто-то меняет права на файлы, как вычислить кто?

Question

[Александр Карабанов]

Здравствуйте.

На ряде серверов появилась аномалия - что-то меняет права на файлы - файлам выставляет -rwxr-xr-x, директориям drwxr-xr-x, подскажите, как вычислить, кто это делает?
Рутовый доступ есть только у меня, да и не важно это в данный момент, понятно что как-то поломали. Но как вычислить кто меняет права?

PS
Что странно могли бы ввести rm -rf, но нет только меняют права... Правда от этого не легче, потому что когда права меняются на / или на ssh ключи или на /dev/null или на /tmp и т.д. возникают существенные проблемы.

Comments

[Сослан Хлоев]

понятно что как-то поломали

не факт, это может делать например udev, но и взлом возможен. Изучите логи входа в сервер. Сопоставьте с последним временем доступа в метаданных файла. Как вариант можно попробовать задействовать подсистему Inotify

[АртемЪ]

Рутовый доступ есть только у меня, да и не важно это в данный момент, понятно что как-то поломали. Но как вычислить кто меняет права?

Не совсем понятно - вы что хотите узнать ФИО и паспортные данные человека который получил доступ к вашей учетке, или что?

[АртемЪ]

Что странно могли бы ввести rm -rf, но нет только меняют права...

Не понятно что тут странного? Какому идиоту вообще придет в голову запуск rm -rf ? Какой в этом смысл?
Я даже представить не могу как эту команду можно монетизировать.

[Александр Карабанов]

АртемЪ, не человека конечно. Процесса.

[Александр Карабанов]

Сослан Хлоев, при изменении прав время последнего доступа к файлу не обновляется.

[Сослан Хлоев]

Александр Карабанов,

$ cd /tmp
$ touch testfile
$ stat testfile 
  File: testfile
  Size: 0         	Blocks: 0          IO Block: 4096   regular empty file
Device: 813h/2067d	Inode: 788128      Links: 1
Access: (0644/-rw-r--r--)  Uid: ( 1000/     ---)   Gid: ( 1000/     ---)
Access: 2019-11-23 09:46:10.253738501 +0300
Modify: 2019-11-23 09:46:10.253738501 +0300
Change: 2019-11-23 09:46:10.253738501 +0300
 Birth: -
$ chmod 600 testfile 
$ stat testfile 
  File: testfile
  Size: 0         	Blocks: 0          IO Block: 4096   regular empty file
Device: 813h/2067d	Inode: 788128      Links: 1
Access: (0600/-rw-------)  Uid: ( 1000/     ---)   Gid: ( 1000/     ---)
Access: 2019-11-23 09:46:10.253738501 +0300
Modify: 2019-11-23 09:46:10.253738501 +0300
Change: 2019-11-23 09:46:45.537979610 +0300
 Birth: -
$

Answer 1

[mayton2019]

Сделай chmod алиасом на твой скрипт который делает действие но аудирует время и терминал с которого это действие пришло.

Comments

[Александр Карабанов]

Хм. Отличная идея. Я это запомню, спасибо.
В последнее время права больше никто не менял - судя по всему всётаки кто-то из своих не понимал, что он делает. Или использовал кривой скрипт.

Answer 2

[Zolg]

https://wiki.archlinux.org/index.php/Audit_framework

Comments

[Александр Карабанов]

Попробую. Спасибо.

Answer 3

[АртемЪ]

Кто-то меняет права на файлы, как вычислить кто?

А что вычислять - админ меняет.
Никто кроме него их не может поменять.

Comments

[Егор Казанцев]

менять права на файлы может насколько я помню owner и root

[Александр Карабанов]

Права меняются в том числе на /etc/ssh и устройство /dev/null это точно делается из под рута. Вопрос как вычислить и устранить софт который это делает. Больше никакоц подозрительной активности на сервер нет, проц не нагружен, траффик потребляется как обычно. Только меняются права...

[Камил]

Александр Карабанов, может бэкдор или скрипт php

[Александр Карабанов]

Камил, в последнее время всё нормализовалось. Права больше никто не менял. Видимо это был кто-то из своих и не признаётся (или вовсе не понимает, что это был он).

[Harbid Abu Marhamedoff]

Александр Карабанов, как может поменять кто-то из своих? Ну не макаки же люди, что на клаве поскакали и Enter нажали. Это либо розыгрыш, и надо искать шутника, или чьи-то пакости, или зловредный скрипт. Менять пароль рута однозначно.

Answer 4

[Денис]

Включить auditd, после использовать ausearch, aureport. Так же можно использовать в связке с ПО контролем целостности файлов, типа Efros/AIDE