Маркер длины линии в нано
У вас есть девять записей аудита, все из которых произошли менее чем за три секунды, в воскресенье, 31 марта (в эпоху с 1554067160 по 1554067162; см. ваше местное время для тех, у когоdate -d @1554067160; date -d @1554067162). Эти записи аудита были созданы на основе правила аудита, которое вы пометили именем «мониторить -хосты».
Все записи очень похожи, в основном отличаются значениями pid, но также различаются значениями name.
Процесс запущен из /opt/cpanel/ea-php70/root/usr/sbin/php-fpmс родительским pid 9239, UID 1121 и GID 1123. Этот процесс открылся(syscall=2на x86 _64 )"/home/usersite/public _html/index.php" (inode 576615421 )три раза, затем открыл "/home/usersite/public _html/wp -content/themes/twentythirteen/index.php" (inode 1135033766 )шесть раз. Оба этих файла находятся на устройстве 09 :01, что переводится как /dev/md1--, предположительно у вас есть файловая система, построенная на /dev/md1. Текущим рабочим каталогом для первых трех открытий был «/home/usersite», а рабочим каталогом для последних шести открытых был «/home/usersite/public _html». Открытые вызовы были успешными и возвращали различные дескрипторы файлов(5или 6).
На данный момент оба файла имели режим (набора разрешений )из 644, как показано в mode=0100644.
К сожалению, ни одна из этих контрольных записей не указывает (на более высоком уровне )«что» произошло или «как». Если вы подозреваете, что эти файлы index.php были повреждены злоумышленником, весьма вероятно, что они используют этот файл php -fpm (или базовую уязвимость )для доступа к файлам.
Следующая ссылка оказалась полезной для меня при анализе логов:
Также был полезен этот фрагмент Python, который я создал для преобразования шестнадцатеричных -закодированных полей, таких как proctitle:
python -c 'import binascii; print binascii.a2b_hex("636174002F6574632F7373682F737368645F636F6E666967")'
Обновлен фрагмент python для python3:
python3 -c 'import binascii; print(binascii.a2b_hex("636174002F6574632F7373682F737368645F636F6E666967"))'