|
Título: [Linux] Monitor de Archivos por consola ? Publicado por: Diabliyo en 22 Mayo 2016, 20:54 pm Buen dia.
Hace una semana encontre un malware en un servidor CentOS, me intriga saber como entro asi que, ya hice una imagen del sistema, restableci todo y pues ahora me encuentro en face de investigacion ! Lo curioso es que el server solo tiene 3 puertos abiertos: SSH, FTP y HTTP. Y sobre "vulnerabilidades", pues la unica es que haya tenido el atacante un 0day, porque el server se actualiza todas las madrugadas y se reinicia. En fin, corriendo la imagen del disco duro en una virtual, noto que cuando elimino el EJECUTABLE de su carpeta, se crea un archivo "automaticamente" que me imagino despues descarga o compila el programa malicioso. Ahora mi duda es: **) Existe alguna herramenta para monitorear la creacion de archivos, ya que NO encuentro por ninguna parte "COMO" se crea ese archivo. Los Logs ya los revise y no encuentro por ninguna parte el arcihvo: may03.tar.bz2", el cual es el archivo que subio de alguna forma el atacante, despues descomprimio y compilo el archivo *.cpp (el cual aun tengo respaldado). Saludos ! Título: Re: [Linux] Monitor de Archivos por consola ? Publicado por: engel lex en 22 Mayo 2016, 21:19 pm algo de esto te es util?
http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html (http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html) http://www.ibm.com/developerworks/linux/library/l-inotify/?ca=drs- (http://www.ibm.com/developerworks/linux/library/l-inotify/?ca=drs-) http://linux.die.net/man/1/inotifywait (http://linux.die.net/man/1/inotifywait) |