Monitorowanie katalogu

redelek · Post autor: **redelek** » 16 marca 2010, 12:58

Witam,

Mam taki mały problemik, giną mi pliki od strony www na moim serwerku.
Uprawnienia mam dobre i w logach czysto. Problem w tym, że do tego folderu mają dostęp 2 osoby. Jedna to pracownik, a druga to firma zewnętrzna która administruje stroną.
Jak zablokowałem im dostęp to i tak wybiórczo giną pliki index.php lub style.css.
Nie widać komunikatów o uszkodzonym dysku. Skanowałem serwer clamav i też czysto.
Czy jest jakiś sposób na monitorowanie tego katalogu, co i kiedy zostało zmienione jeśli skasowane to jaką komendą. Na forum DUG nikt nie umie mi pomóc, domysły są takie że ktoś wysyła na mój serwer jakis spreparowany pliczek który to robi ?

Będę wdzięczny za pomoc
Redelek

lessmian2 · Post autor: **lessmian2** » 16 marca 2010, 13:57

redelek pisze:Uprawnienia mam dobre

To znaczy jakie? To co uważasz za "dobre", wcale takie być nie musi. W szczególności czy użytkownik na którym działa serwer www ma uprawnienia do zapisu na tych plikach? A jeśli tak, to po co i czemu do wszystkich?

redelek · Post autor: **redelek** » 16 marca 2010, 14:46

Nie, nie, do folderów mam 755 a do plików 744. Właścicielem jest root, a grupa do webadmin.
Wydaje mi się, że powinno być dobrze z uprawnieniami. W ACL mam grupę webadmin, która ma dostęp do wszystkiego tak zwaną pełną kontrolę.

MadCow · Post autor: **MadCow** » 16 marca 2010, 20:44

Wpisz do crona skrypt który co minutę sprawdzi czy plik stnieje, jeśli nie to wywali do logu info.

Kod: Zaznacz cały

#!/bin/bash
if [ -e /sciezka/do/index.php ]
then
  echo "plik jest >> /tmp/log.txt"
else
  echo "zlodzieje ukradli >> /tmp/log.txt"
fi

redelek · Post autor: **redelek** » 16 marca 2010, 21:50

to by było za proste. Znikają losowo strona ma ponad 300 plików

MadCow · Post autor: **MadCow** » 16 marca 2010, 21:56

Licz pliki, sprawdzaj sumy md5, daty modyfikacji, diffy jakies... opcji jest dużo, zależy tylko od Twojej determinacji. Jak raz złapiesz czas takiego "zniknięcia" to możesz dojść jak to sie dzieje że coś znika, kto był zalogowany po ssh, ftp, co robił apache itp.

tremor · Post autor: **tremor** » 16 marca 2010, 23:13

Jeśli system plików jest ext(2/3/4), a zależy Ci, żeby pliki nie ginęły, to możesz tymczasowo użyć:

Kod: Zaznacz cały

chattr +i wybrane_pliki...

Spowoduje to, że tych plików nie będzie się dało usunąć aż do analogicznego wywołania z opcją -i.
Może próba nieudanego usunięcia spowoduje jakiś komunikat w logach.