Audit process Apache Création de files dans / tmp

Nous avons un server Linux sur un grand fournisseur d'hébergement qui count environ 75 Joomla! les sites Web étant hébergés sur elle. Nous utilisons maldet pour parsingr quotidiennement les logiciels malveillants possibles sur tous ces sites. Au cours de la dernière semaine, les files ont été affichés dans / tmp

/tmp/20130930-202240-UkpAAEBaJ74AABlPLiMAAAAL-file-cdQfYQ /tmp/20131001-004117-Ukp8nUBaJ74AAGD@-W0AAAAD-file-P6KfRr /tmp/20131001-004128-Ukp8qEBaJ74AAGEdQ88AAAAI-file-W65Hp6 

Ils appartiennent à l'user apache s'exécute en tant que, et ils contiennent du code PHP codé malveillant. Nous souhaitons savoir quel site ou site est attaqué. Nous devons savoir d'où ou comment ces files sont créés. Évidemment, seul un count user contrôle tous ces sites, ce qui rend les choses difficiles à réduire.

Est-il possible d'auditer Apache et de déterminer à quel site ces files sont-ils créés?

Merci Jay

3 Solutions collect form web for “Audit process Apache Création de files dans / tmp”

Vous devriez examiner apache2-mod-itk et fournir un user par virtualhost. Vous findez facilement que l'user a un problème, quel hôte virtuel doit être arrêté, quel file est créé, quel package parcourt votre pare-feu iptables …

Ensuite, il devient facile dans un monde partagé

Avez-vous une list de vos sites joomla qui vous disent, lequel est obsolète? il y a eu un défaut moche récemment, permettant l'exécution de code à distance

exploit-scanners finda vos sites, esp. Quand on raconte la version sur laquelle ils s'exécutent, alors je suppose: chaque instance joomla obsolète devrait faire l'object d'une enquête.

Peut-être corréler les horodatages entre les files / tmp et vos journaux d'access Apache? En fonction de votre résolution d'horodatage et de la façon dont vos sites sont occupés, vous pouvez identifier les requêtes qui créent les files.

Si vous utilisez ext4, vous pouvez désactiver l'heure sur ext4 afin que les time d'access au file imitent les time de création de file et utilisent l'enregistreur pour envoyer des journaux d'access d'apache à rsyslog et, set, ces mesures vous donneraient des horodateurs assez précis, pas nécessairement 100% précis mais assez probablement assez bon pour suivre les choses.

Pour ajuster les options ext4, voir:

 man 8 mount man 5 fstab 

Pour ajuster les journaux d'Apache, voir:

 http://httpd.apache.org/docs/2.2/logs.html 

Quelque chose comme:

 CustomLog "|/usr/bin/logger -p local6.info" vhost_combined 

Pour ajuster les parameters de syslog, voir:

 man 8 rsyslogd 
  • Comment effacer les journaux linux?
  • Puis-je désactiver intentionnellement les voies PCIe? Ou une largeur de PCIe inférieure?
  • Hyper-V: les clients d'Ubuntu manquent de memory
  • Le server ne sera pas autorisé à l'interface 1Gb
  • Pourquoi ntpd écoute-t-il tant de ports / adresses?
  • libexecdir dans le file systems .service?
  • ntpdate échouant "Nom ou service inconnu"
  • Comment désactiver mod_perl sur xampp pour Linux 1.7.4?
  • Comment filterr les journaux de vernis en fonction de XID?
  • Comment configurer Ubuntu à la maison comme server web linux
  • Configurez Fail2ban pour ignorer les IP locales (NAT)
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.