Linux
有什麼方法可以確定如何在 Linux/Apache 伺服器上刪除文件?
問題:
我在異地 Linux/Apache 伺服器上有幾個失去的目錄。我已經追踪了它們何時從 httpd 錯誤日誌中失去,並且我有一個 SSL 登錄到機器的列表(包含網路地址。)
有幾個人可以訪問我的機器上的帳戶,所以我試圖確認這些文件是意外還是有意刪除的。如果我可以確定會話來自外部網路地址,那麼我可以確定它是故意的。否則我將需要更多資訊。
問題:
有什麼方法可以確定是哪個使用者帳戶(我的還是 root)、網路會話或程序刪除了這些文件?我不擔心恢復它們,因為備份是最近的。
相關問題:
我已經嘗試查看我自己帳戶的 bash 歷史記錄(除了 root 之外的唯一具有權限的帳戶),它似乎只延伸到我的 SSL 會話的開始。這是否意味著 bash 歷史記錄已被篡改,或者這是正常行為?
預設情況下,這不會被記錄(想像一下日誌會有多大)。您可以使用 auditctl 或 inotify/iwatch 添加日誌記錄(有趣的選項,請查看它們),或者您的控制面板日誌記錄或 ftp 日誌(通常都在 /var/log 某處)或 bash 歷史記錄可能會幫助您跟踪它。檢查您的 HTTP 訪問日誌,以防某些 GET 請求成功執行此操作(不太可能,但可能)
如果您的歷史記錄不存在,則它已被清除。這可以手動完成,也可以通過 .bash_logout 或 .logout 文件中的命令完成。
此外,它是 SSH 而不是 SSL :)