如何在Linux中检查哪个进程/实用程序/ cron创建/修改了文件/文件夹

前端之家收集整理的这篇文章主要介绍了如何在Linux中检查哪个进程/实用程序/ cron创建/修改了文件/文件夹前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我在服务器上有一个文件夹,里面有一个网站.服务器已从互联网上切断,但一段时间后,其中自动创建的文件夹很少,每个文件夹中都有一些可疑文件.

我已经为所有用户检查了Cron作业,没有任何内容正在通过Crons.在我尝试使用Inotify工具检查系统调用文件夹后,我得到了以下结果:

./Lq1Lbs/ MODIFY index.html
./Lq1Lbs/ CLOSE_WRITE,CLOSE index.html
./nmt08u/ MODIFY index.html
./nmt08u/ OPEN index.html
./nmt08u/ ATTRIB index.html
./nmt08u/ ATTRIB index.html
./nmt08u/ MODIFY index.html
./nmt08u/ CLOSE_WRITE,CLOSE index.html

但我需要知道哪个Exact实用程序,脚本,用户或创建文件夹和文件内容.我已经尝试过tripwire,ossec,AIDE,所有这些只是通知创建/取消或修改文件,但没有告诉我哪个确切的脚本,文件,脚本或实用程序执行了此操作.
有可能知道吗?

简而言之,哪个进程更改或创建了哪个文件/文件夹,这就是我想知道的.
谢谢

解决方法

实施的唯一合理方法是使用Liunx审计框架(LAF).查看 this quick start文档,了解如何解决问题.

猜你在找的Linux相关文章