我尝试使用 Linux 审计系统来追踪 Web shell 攻击。 以下是我附加的规则。
-a exit,always -F arch=b64 -F gid=nginx -S execve
(使用 nginx)
通过此设置,我可以跟踪的命令不是“pwd”,而是“ls”、“cat”。
它们有什么区别?如何彻底追踪所有命令?
最佳答案
像pwd这样的东西是shell内置的,不涉及创建另一个进程,因此不会调用execve。支持的内置命令取决于您使用的 shell。这是built-ins supported by bash .
如果您确实希望捕获所有事件,我建议您运行 shell 的修改版本,或者跟踪其他内容,例如网络流量。如果没有更多详细信息说明您希望捕获此信息的原因,则很难推荐一种方法。
关于linux - 使用 Linux 审计系统追踪 Web shell 攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41155297/