Linux
看起來像編碼數據的 auditd execve 參數
我將所有 execve 記錄在一種honeypot盒中,因此我試圖理解這些命令。其中有很多,都帶有’bash -c’和一些沒有用雙引號括起來的長字母數字值。我怎樣才能理解我真正在看什麼?
type=EXECVE msg=audit(1425426965.480:57967): argc=3 a0="bash" a1="-c" a2=6C73202F6574632F696E69742E64207C2067726570202D4520275B302D39612D7A5D7B31307D27207C2061776B20277B7072696E742024317D27207C207861726773206B696C6C616C6C type=EXECVE msg=audit(1425510362.928:72792): argc=3 a0="bash" a1="-c" a2=6B696C6C616C6C20373737206874747064 type=EXECVE msg=audit(1425510366.832:72800): argc=3 a0="bash" a1="-c" a2=726D202D66202F746D702F68747470642A type=EXECVE msg=audit(1425510366.832:72801): argc=3 a0="rm" a1="-f" a2="/tmp/httpd*"
httpd 的最後一部分給出了一些指示,但我真的很想了解到底發生了什麼。
聚會有點晚了,但萬一它仍然可以幫助您或其他人搜尋…
Linux 審計日誌並不是要直接在原始日誌文件中查看——它們是要使用“ausearch”和“aureport”等工具進行查看和分析的。許多東西(甚至包括時間/日期戳)都以十六進制格式儲存,但您可以使用“-i”選項告訴 ausearch 解釋十六進制內容,以及將 UID/GID 轉換為名稱。預設情況下,ausearch 使用文件“/var/log/audit/audit.log”,但您也可以使用“-if 文件名”選項查看特定文件。例如,我將您的特定行剪切並粘貼到臨時文件中,並得到以下結果:
$ ausearch -if temp_audit.log -i ---- type=EXECVE msg=audit(03/03/2015 18:56:05.480:57967) : argc=3 a0=bash a1=-c a2=ls /etc/init.d | grep -E '[0-9a-z]{10}' | awk '{print $1}' | xargs killall ---- type=EXECVE msg=audit(03/04/2015 18:06:02.928:72792) : argc=3 a0=bash a1=-c a2=killall 777 httpd ---- type=EXECVE msg=audit(03/04/2015 18:06:06.832:72800) : argc=3 a0=bash a1=-c a2=rm -f /tmp/httpd* ---- type=EXECVE msg=audit(03/04/2015 18:06:06.832:72801) : argc=3 a0=rm a1=-f a2=/tmp/httpd*