J'ai apache installé avec mod_php PHP5.
J'ai pu découvrir que le processus d'apache modifie mon .htaccess y index.php fichiers dans /var/www répertoire. Tous les fichiers de ce répertoire sont la propriété de www-data:www-data et ont ug=rwX,o=rX permissions.
Il est évident qu'un malware PHP script fait cela. Comment puis-je le trouver ?
Voici le résultat de auditd :
time->Thu Jun 26 21:15:12 2014
type=PATH msg=audit(1403802912.787:936): item=0 name="/var/www/example/htdocs/index.php" inode=1182278 dev=ca:01 mode=0100404 ouid=33 ogid=33 rdev=00:00
type=CWD msg=audit(1403802912.787:936): cwd="/var/www/example/htdocs"
type=SYSCALL msg=audit(1403802912.787:936): arch=c000003e syscall=90 success=yes exit=0 a0=7fac1ef5a128 a1=104 a2=7 a3=7fac0e1490c0 items=1 ppid=12397 pid=22347 auid=4294967295 uid=33 gid=33 euid=33 suid=33 fsuid=33 egid=33 sgid=33 fsgid=33 tty=(none) ses=4294967295 comm="apache2" exe="/usr/lib/apache2/mpm-prefork/apache2" key=(null)
1 votes
Vous ne devez pas laisser le processus du serveur web écrire dans les fichiers du répertoire du site web, sauf si cela est nécessaire.