-4
我试图使用Linux审计系统来跟踪web shell攻击。 以下是我附加的规则。使用Linux审计系统跟踪web shell攻击
-a exit,always -F arch=b64 -F gid=nginx -S execve
(使用nginx的)
通过此设置,我可以跟踪的命令不是 'PWD',而是 'LS', '猫'。
这些有什么不同?我怎样才能彻底追踪所有命令?
A
回答
-1
像pwd这样的东西是shell内置插件,并且不涉及创建另一个进程,因此没有调用execve。内置的命令支持取决于你使用的shell。这里是built-ins supported by bash。
我建议您运行shell的修改版本,或者如果您确实希望捕获所有活动,则可以跟踪其他内容(如网络流量)。没有关于为什么希望获取这些信息的更多细节,很难推荐一种方法。
相关问题
- 1. 如何构建变更跟踪系统 - 不是审计系统
- 2. VB6审计跟踪
- 3. Oracle - 审计跟踪
- 4. Oracle中的审计追踪系统
- 5. 审计跟踪表单
- 6. Telerik Open access审计跟踪
- 7. 审计跟踪技术
- 8. Umbraco审计跟踪报告
- 9. MySQL跟踪系统
- 10. GPS跟踪系统
- 11. Android系统跟踪[跟踪标记]
- 12. 监控用户跟踪,统计和审核程序
- 13. 跟踪/监控系统
- 14. 审计跟踪,但不会保存
- 15. 如何在asp.net中创建审计日志/审计跟踪mvc
- 16. 跟踪系统重启
- 17. 跟踪系统活动
- 18. c#跟踪系统。诊断
- 19. Node.JS上的跟踪系统
- 20. 问题跟踪系统?
- 21. Oracle数据库审计跟踪
- 22. 审计跟踪的提取记录
- 23. 向SaaS平台添加审计跟踪
- 24. oracle 11g中的审计跟踪设置
- 25. 带内置审计跟踪的ORM
- 26. JSP屏幕字段的审计跟踪
- 27. EclipseLink审计/历史/跟踪更改
- 28. Oracle - 审计跟踪生成器?
- 29. MySQL db审计跟踪触发器
- 30. Django的:审计跟踪和懒惰的关系
你意识到如果问题被移动,我的答案将被移动,对吧?你意识到我投了这个问题呢?没有理由为此付出沉重的代价。 –
我知道你的答案会移动但不是,我不知道你投了票。因为你没有提到它在错误的地方,我怎么知道? –
添加一个句子教育OP,我会收回downvote –