-4
我試圖使用Linux審計系統來跟蹤web shell攻擊。 以下是我附加的規則。使用Linux審計系統跟蹤web shell攻擊
-a exit,always -F arch=b64 -F gid=nginx -S execve
(使用nginx的)
通過此設置,我可以跟蹤的命令不是 'PWD',而是 'LS', '貓'。
這些有什麼不同?我怎樣才能徹底追蹤所有命令?
我試圖使用Linux審計系統來跟蹤web shell攻擊。 以下是我附加的規則。使用Linux審計系統跟蹤web shell攻擊
-a exit,always -F arch=b64 -F gid=nginx -S execve
(使用nginx的)
通過此設置,我可以跟蹤的命令不是 'PWD',而是 'LS', '貓'。
這些有什麼不同?我怎樣才能徹底追蹤所有命令?
像pwd
這樣的東西是shell內置插件,並且不涉及創建另一個進程,因此沒有調用execve
。內置的命令支持取決於你使用的shell。這裏是built-ins supported by bash。
我建議您運行shell的修改版本,或者如果您確實希望捕獲所有活動,則可以跟蹤其他內容(如網絡流量)。沒有關於爲什麼希望獲取這些信息的更多細節,很難推薦一種方法。
你意識到如果問題被移動,我的答案將被移動,對吧?你意識到我投了這個問題呢?沒有理由爲此付出沉重的代價。 –
我知道你的答案會移動但不是,我不知道你投了票。因爲你沒有提到它在錯誤的地方,我怎麼知道? –
添加一個句子教育OP,我會收回downvote –