Найдите скрипт, который пишет в /var/tmp

Question

Найдите скрипт, который пишет в /var/tmp

Я обнаружил, что один из моих разделов был заполнен.

rootfs                 20G  1,8G   17G  10% /
/dev/root              20G  1,8G   17G  10% /
devtmpfs              7,8G  184K  7,8G   1% /dev
none                  7,8G     0  7,8G   0% /dev/shm
none                  7,8G  600K  7,8G   1% /var/run
none                  7,8G     0  7,8G   0% /var/lock
none                  7,8G     0  7,8G   0% /lib/init/rw
/dev/md3              1,8T  1,6T  177G  90% /var
none                  7,8G  600K  7,8G   1% /var/run
none                  7,8G     0  7,8G   0% /var/lock

С некоторыми рекурсивными du -sh * | sort -n Я обнаружил, что мой /var/tmp имеет 2 папки принадлежат www-данным

root@ns384990:/var/tmp# ls -la
total 76
drwxr-xr-x  2 www-data www-data 36864 2014-10-27 00:11  .. 
drwxrwxrwt  4 root     root      4096 2014-10-29 06:30 .
drwxr-xr-x  2 www-data www-data 32768 2014-10-01 18:40 . .. 
drwxr-xr-x 21 root     root      4096 2013-07-23 11:49 ..

Я иду в папку.. cd ' .. ' (да, два чертовых побега... Я был безумен, потому что я не вижу второго побега, и мне требуются часы, чтобы найти его)

И вот что я получаю внутри... Несколько фильмов и сериалов

root@ns384990:/var/tmp/ .. # ls -la
total 1580112096
drwxr-xr-x 2 www-data www-data       36864 2014-10-27 00:11 .
drwxrwxrwt 4 root     root            4096 2014-10-29 06:30 ..
-rw-r--r-- 1 www-data www-data   644663385 2014-10-18 18:05 10.Things.You.Dont.Know.About.S01E02.Abraham.Lincoln.720p.HDTV.x264-DHD.mkv
-rw-r--r-- 1 www-data www-data   634213806 2014-10-24 09:44 10.Things.You.Dont.Know.About.S01E05.The.OK.Corral.720p.HDTV.x264-DHD.mkv
-rw-r--r-- 1 www-data www-data  4743372800 2014-09-19 01:41 21.2008.BluRay.720p.x264-WiKi.tar

... 1,5 к фильмам и сериалам, присланным "я не знаю как" и хранится в моем /var/tmp

Как я могу найти скрипт, позволяющий написать это? Какие файлы журналов или команды я могу использовать для отслеживания произошедшего?

Вот информация о моей ОС:

Linux ns384990.ovh.net 3.8.13-xxxx-std-ipv6-64 # 3 SMP пт, 31 мая 13:14:59 CEST 2013 x86_64 GNU/Linux Ubuntu 10.04.2 LTS

Добро пожаловать в Ubuntu! * Документация: https://help.ubuntu.com/ Ubuntu 10.04.2 LTS

** РЕДАКТИРОВАТЬ 1: Только что нашел сценарий: **

** ссылка удалена, так как содержит вредоносную программу ** (слишком долго, чтобы поместить ее здесь)

1

linux www-data rootkit

Источник

Raphaël 29 окт '14 в 11:33

1 ответ

Решение

Другие вопросы по тегам linux www-data rootkit

Hrvoje Špoljar 29 окт '14 в 11:53 2014-10-29 11:53 · Accepted Answer · 2014-10-29 11:53

Вопрос не в том, какой скрипт использовался для этих загрузок; Вопрос в том, какая уязвимость использовалась для создания скрипта, который использовался для этих загрузок.

Вы можете просмотреть журналы доступа Apache и попробовать связать временные метки создания этих файлов с выполненными http-запросами.

Кроме того, я бы порекомендовал обратить внимание на усиление опции open_basedir. Какие типы сайтов вы запускаете? Попробуйте найти странные файлы php, принадлежащие пользователю www-data, например

find / -type f -iname '*.php*' -user www-data

Другой часто используемый трюк - определение AddHandler или же AddType в .htaccess разобрать не php-расширения как php-код. Поэтому вы можете просмотреть все файлы.htaccess в вашей системе на предмет этих совпадений, и если есть какие-то странные расширения, настроенные для работы, так как код php также проверяет файлы с такими расширениями.