[Linux] Monitor de Archivos por consola ?

Iniciado por Diabliyo, 22 Mayo 2016, 20:54 PM

0 Miembros y 1 Visitante están viendo este tema.

Diabliyo

Buen dia.

Hace una semana encontre un malware en un servidor CentOS, me intriga saber como entro asi que, ya hice una imagen del sistema, restableci todo y pues ahora me encuentro en face de investigacion !

Lo curioso es que el server solo tiene 3 puertos abiertos: SSH, FTP y HTTP. Y sobre "vulnerabilidades", pues la unica es que haya tenido el atacante un 0day, porque el server se actualiza todas las madrugadas y se reinicia.

En fin, corriendo la imagen del disco duro en una virtual, noto que cuando elimino el EJECUTABLE de su carpeta, se crea un archivo "automaticamente" que me imagino despues descarga o compila el programa malicioso.

Ahora mi duda es:

**) Existe alguna herramenta para monitorear la creacion de archivos, ya que NO encuentro por ninguna parte "COMO" se crea ese archivo.

Los Logs ya los revise y no encuentro por ninguna parte el arcihvo: may03.tar.bz2", el cual es el archivo que subio de alguna forma el atacante, despues descomprimio y compilo el archivo *.cpp (el cual aun tengo respaldado).

Saludos !

engel lex

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.