关注

求助万能的长毛象,有懂安全审计的嘟友吗?

最近发现有奇怪的文件操作(每隔几天的15:00左右),虽然使用 audit 抓到了相关的记录。
gist.github.com/yingziwu/a95c7
但日志中只有 ppid,有什么办法找出到底是哪个程序执行了这些命令?

@redhat
这就是问题了。
你可以自己试验一下,创建一个脚本,名字随便取(就比如说 tttt.sh)。

#!/bin/bash

touch /tmp/test
mv /tmp/test /tmp/test1

运行这个脚本,然后你会发现 exe= 里面是 /usr/bin/mv ,对于 mv 的父进程(tttt.sh),只记下一个 ppid ,并没有记录下路径以及具体的命令。
当你事后追查时,脚本早就运行完成了,想通过一个 ppid ,根本找到父进程的路径。
我想问的是,如何记录下 parent path 。

Sign in to participate in the conversation
BGME

一个中文长毛象(Mastodon)实例。