Как расшифровать логи аудита debian и найти откуда запускается скрипт?

Есть кусок аудита системы, в нём по идее происходит "незаконное" но никак не пойму как узнать откуда запускается скрипт, папки и файла "/tmp/r.sh" нет, ну или я не могу найти:

(З.ы. -i для ausearch толком ничего не меняет )

type=SYSCALL msg=audit(1524920677.244:1631980): arch=c000003e syscall=59 success=yes exit=0 a0=7fff0849fed0 a1=7fff0849e760 a2=7fff0849e770 a3=5b5 items=3 ppid=1 pid=12237 auid=4294967295 uid=33 gid=33 euid=33 suid=33 fsuid=33 egid=33 sgid=33 fsgid=33 tty=(none) ses=4294967295 comm="r.sh" exe="/bin/bash" key="webserver-watch-tmp"
type=EXECVE msg=audit(1524920677.244:1631980): argc=2 a0="/bin/bash" a1="/tmp/r.sh"
type=EXECVE msg=audit(1524920677.244:1631980): argc=1 a0="/bin/bash"
type=CWD msg=audit(1524920677.244:1631980): cwd="/var/www/имя пользователя/data/www/адрес папки сайта"
type=PATH msg=audit(1524920677.244:1631980): item=0 name="/tmp/r.sh" inode=57543177 dev=fd:01 mode=0100755 ouid=33 ogid=33 rdev=00:00
type=PATH msg=audit(1524920677.244:1631980): item=1 name=(null) inode=42459137 dev=fd:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1524920677.244:1631980): item=2 name=(null) inode=27025442 dev=fd:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
  • Вопрос задан
  • 195 просмотров
Пригласить эксперта
Ответы на вопрос 1
opium
@opium
Просто люблю качественно работать
а почему он там должен быть, элементарно мог запустить и сам почиститься
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы