我在服务器上有一个文件夹,里面有一个网站.服务器已从互联网上切断,但一段时间后,其中自动创建的文件夹很少,每个文件夹中都有一些可疑文件.
我已经为所有用户检查了Cron作业,没有任何内容正在通过Crons.在我尝试使用Inotify工具检查系统调用文件夹后,我得到了以下结果:
./Lq1Lbs/ MODIFY index.html ./Lq1Lbs/ CLOSE_WRITE,CLOSE index.html ./nmt08u/ MODIFY index.html ./nmt08u/ OPEN index.html ./nmt08u/ ATTRIB index.html ./nmt08u/ ATTRIB index.html ./nmt08u/ MODIFY index.html ./nmt08u/ CLOSE_WRITE,CLOSE index.html
但我需要知道哪个Exact实用程序,脚本,用户或创建文件夹和文件的内容.我已经尝试过tripwire,ossec,AIDE,所有这些只是通知创建/取消或修改文件,但没有告诉我哪个确切的脚本,文件,脚本或实用程序执行了此操作.
有可能知道吗?
