linux auditd占用内存较大,TRICK: Linux Auditd审计工具 · Chen’s Blog

背景

难题：/home/chen/test/目录下的index.html为首页文件，一直被入侵者恶意篡改

需求：想要定位攻击方式以及篡改方式

命令：auditctl (安装：sudo apt install auditd)

参数：

-w 监控文件路径

-p 监控文件筛选 r(读) w(写) x(执行) a(属性改变)

-k 关键词(用于查询监控日志)

运行：sudo auditctl -w /home/chen/test/index.html -p w -k index，等待二次篡改

过程

发现被篡改执行：sudo ausearch -i -k index 查看日志

type=SYSCALL msg=audit(08/20/2019 02:22:10.905:509) : arch=x86_64 syscall=rename success=yes exit=0 a0=0x7f5c94011370 a1=0x7f5c94005d90 a2=0x0 a3=0x20 items=5 ppid=1966 pid=17243 auid=chen uid=chen gid=chen euid=chen suid=chen fsuid=chen egid=chen sgid=chen fsgid=chen tty=(none) ses=3 comm=pool exe=/usr/bin/gedit key=index

了解该日志的格式：

syscall : 相关的系统调用

auid : 审计用户ID

<