我尝试使用Linux审核系统跟踪Web shell攻击。 以下是我附加的规则。
-a exit,always -F arch=b64 -F gid=nginx -S execve
(使用nginx)
使用此设置,我可以追踪的命令不是'pwd',而是'ls','cat'。
那些有什么不同?如何彻底追踪所有命令?
答案 0 :(得分:-1)
pwd之类的内容是shell内置函数,不涉及创建另一个进程,因此不会调用execve。支持的内置命令取决于您正在使用的shell。以下是built-ins supported by bash。
如果您真的希望捕获所有活动,我建议您运行shell的修改版本或者跟踪其他内容,例如网络流量。如果没有更多有关您希望捕获此信息的详细信息,则很难推荐一种方法。