使用 Linux 审计系统跟踪网络 shell 攻击
Tracing web shell attack with Linux audit system
我尝试使用 Linux 审计系统来追踪网络 shell 攻击。
以下是我附加的规则。
-a exit,always -F arch=b64 -F gid=nginx -S execve
(使用 nginx)
使用此设置,我可以跟踪的命令不是 'pwd',而是 'ls'、'cat'。
它们有什么区别?以及如何彻底跟踪所有命令?
像 pwd 这样的东西是 shell 内置的,不涉及创建另一个进程,因此不会调用 execve。支持的内置命令取决于您使用的 shell。这是 built-ins supported by bash.
我建议您 运行 shell 的修改版本,或者如果您确实希望捕获所有 activity,则跟踪其他内容,例如网络流量.如果没有详细说明您希望捕获此信息的原因,则很难推荐一种方法。
我尝试使用 Linux 审计系统来追踪网络 shell 攻击。 以下是我附加的规则。
-a exit,always -F arch=b64 -F gid=nginx -S execve
(使用 nginx)
使用此设置,我可以跟踪的命令不是 'pwd',而是 'ls'、'cat'。
它们有什么区别?以及如何彻底跟踪所有命令?
像 pwd 这样的东西是 shell 内置的,不涉及创建另一个进程,因此不会调用 execve。支持的内置命令取决于您使用的 shell。这是 built-ins supported by bash.
我建议您 运行 shell 的修改版本,或者如果您确实希望捕获所有 activity,则跟踪其他内容,例如网络流量.如果没有详细说明您希望捕获此信息的原因,则很难推荐一种方法。