1. ホーム
  2. 質問と答え
  3. Linux監査システムによるウェブシェル攻撃の追跡

Linux監査システムによるウェブシェル攻撃の追跡

2016-12-15 15 views
-4

Linux監査システムを使用してWebシェル攻撃をトレースしようとしました。 以下は私が追加したルールです。この設定では(nginxのを使用して)Linux監査システムによるウェブシェル攻撃の追跡

-a exit,always -F arch=b64 -F gid=nginx -S execve

、私は 'PWD' はコマンドをトレースすることができますが、 '1!' '猫。

これらの違いは何ですか?そして、どのように私はすべてのコマンドを完全にトレースできますか?

出典

2016-12-15 Francis. J

答えて

-1

pwdのようなものはシェル組み込みであり、別のプロセスの作成を伴わないので、execveを呼び出す必要はありません。サポートされている組み込みコマンドは、使用しているシェルによって異なります。ここにはbuilt-ins supported by bashがあります。

本当にすべてのアクティビティをキャプチャする場合は、変更したバージョンのシェルを実行するか、ネットワークトラフィックなど何かをトレースすることをお勧めします。なぜこの情報をキャプチャしたいのかについての詳細がなければ、アプローチを推薦するのは難しいです。

出典

2016-12-15 02:26:31

+0

質問が移動された場合、私の回答は移動されることに気づきましたか?あなたはこの質問を動かすことに投票したことを認識していますか?それを下降させる理由はありません。 –

+0

私はあなたの答えが動くことを知っているが、いいえ、私はあなたが動くように投票したのか分からなかった。あなたが間違った場所にいるという言及がないので、どのように知っていますか? –

+0

OPを教育する文章を追加して、私はダウンボート –

関連する問題

 関連する問題