파일 이름을 변경하는 악성 스크립트를 발견하셨나요?

파일 이름을 변경하는 악성 스크립트를 발견하셨나요?

SFTP 엔드포인트로 사용하는 서버와 정기적으로 서버에 업로드하는 스크립트가 다른 곳에 있습니다.

매일 특정 시간에 업로드 폴더의 모든 파일 이름 앞에 "archive_" 문자열이 추가됩니다.

이름이 변경된 스크립트의 범인을 어떻게 추적합니까?

/var/cron에서 로그를 검색하고, /etc/cron*에서 스크립트를 살펴보고, 홈 디렉토리가 있는 모든 사용자에 대해 crontab -e를 살펴보고, 'archive' /home, /etc/ 및 / usr에 대한 grep을 수행했습니다. 유용한 결과를 얻지 못했습니다.

답변1

해결되었습니다. 서버에서 파일을 추출하는 스크립트는 파일 이름에 텍스트 문자열을 추가하여 다음에 추출할 필요가 없는 파일로 표시합니다.

모두 감사합니다!

답변2

root어떤 프로그램이 특정 파일에 액세스하고 있는지는 액세스 sysdig또는 유사한 커널 추적 도구를 통해 확인할 수 있습니다.

# sysdig fd.name contains archive_

그런 다음 해당 아카이브 파일의 경로에 추가 제한을 적용해야 하거나 플래그를 사용하여 -p관심 있는 일치 프로세스의 속성을 선택해야 할 수도 있지만 실행될 때까지 기다리십시오.

관련 정보