Назад | Перейти на главную страницу

Найдите сценарий, который записывает в / var / tmp

Я обнаружил, что один из моих разделов был заполнен.

rootfs                 20G  1,8G   17G  10% /
/dev/root              20G  1,8G   17G  10% /
devtmpfs              7,8G  184K  7,8G   1% /dev
none                  7,8G     0  7,8G   0% /dev/shm
none                  7,8G  600K  7,8G   1% /var/run
none                  7,8G     0  7,8G   0% /var/lock
none                  7,8G     0  7,8G   0% /lib/init/rw
/dev/md3              1,8T  1,6T  177G  90% /var
none                  7,8G  600K  7,8G   1% /var/run
none                  7,8G     0  7,8G   0% /var/lock

С некоторой рекурсивной du -sh * | sort -n , Я обнаружил, что мой /var/tmp имеет 2 папки, принадлежащие www-data

root@ns384990:/var/tmp# ls -la
total 76
drwxr-xr-x  2 www-data www-data 36864 2014-10-27 00:11  .. 
drwxrwxrwt  4 root     root      4096 2014-10-29 06:30 .
drwxr-xr-x  2 www-data www-data 32768 2014-10-01 18:40 . .. 
drwxr-xr-x 21 root     root      4096 2013-07-23 11:49 ..

Захожу в папку .. cd ' .. ' (да, 2 гребанных побега ... Я был зол, потому что я не вижу 2-го побега, и мне нужны часы, чтобы его найти)

И вот что я попадаю внутрь ... Севералс, фильмы и сериалы 

root@ns384990:/var/tmp/ .. # ls -la
total 1580112096
drwxr-xr-x 2 www-data www-data       36864 2014-10-27 00:11 .
drwxrwxrwt 4 root     root            4096 2014-10-29 06:30 ..
-rw-r--r-- 1 www-data www-data   644663385 2014-10-18 18:05 10.Things.You.Dont.Know.About.S01E02.Abraham.Lincoln.720p.HDTV.x264-DHD.mkv
-rw-r--r-- 1 www-data www-data   634213806 2014-10-24 09:44 10.Things.You.Dont.Know.About.S01E05.The.OK.Corral.720p.HDTV.x264-DHD.mkv
-rw-r--r-- 1 www-data www-data  4743372800 2014-09-19 01:41 21.2008.BluRay.720p.x264-WiKi.tar

... 1,5 Кого из фильмов и сериалов отправлено "Не знаю как" и хранится в моем / var / tmp

Как мне найти сценарий, позволяющий это написать? Какие файлы журналов или команды я могу использовать для отслеживания того, что произошло?

вот информация о моей ОС:

Linux ns384990.ovh.net 3.8.13-xxxx-std-ipv6-64 # 3 SMP Пт 31 мая 13:14:59 CEST 2013 x86_64 GNU / Linux Ubuntu 10.04.2 LTS

Добро пожаловать в Ubuntu! * Документация: https://help.ubuntu.com/ Ubuntu 10.04.2 LTS

** РЕДАКТИРОВАТЬ 1: только что нашел сценарий: **

** ссылка удалена, поскольку содержит вредоносное ПО ** (слишком длинная, чтобы помещать ее сюда)

Вопрос не в том, какой сценарий использовался для этих загрузок; Вопрос в том, какая уязвимость использовалась для создания скрипта, который использовался для этих загрузок.

Вы можете просмотреть журналы доступа apache и попробовать связать отметки времени создания этих файлов с выполненными http-запросами.

Кроме того, я бы порекомендовал заняться укреплением вашего open_basedir вариант. Какие типы сайтов вы запускаете? Попробуйте поискать странные файлы php, принадлежащие пользователю www-data, например

find / -type f -iname '* .php *' -user www-data

Еще один часто используемый прием - определение AddHandler или AddType в .htaccess для синтаксического анализа расширений, отличных от php, как кода php. Таким образом, вы можете проверить все файлы .htaccess в вашей системе на наличие этих совпадений, и если есть какие-либо странные расширения, сопоставленные для запуска в качестве кода php, проверьте также файлы с такими расширениями.