Я попытался проследить атаку веб-оболочки с помощью системы аудита Linux. Следующее правило, которое я приложил.Трассировка атаки веб-оболочки с системой аудита Linux
-a exit,always -F arch=b64 -F gid=nginx -S execve
(с помощью Nginx)
С помощью этого параметра можно проследить команды не 'PWD', но 'Ls', 'кошка'.
Какие отличия у них были? И как я могу полностью отслеживать все команды?
Такие вещи, как pwd, являются встроенными в оболочку и не связаны с созданием другого процесса, и поэтому не нужно звонить в execve. Поддерживаемые встроенные команды зависят от используемой оболочки. Вот built-ins supported by bash.
Я бы порекомендовал вам либо запустить модифицированную версию оболочки, либо проследить что-то еще, например, сетевой трафик, если вы действительно хотите захватить всю деятельность. Без дополнительной информации о том, почему вы хотите получить эту информацию, сложно рекомендовать подход.
Вы понимаете, что мой ответ будет перенесен, если вопрос будет перемещен, правильно? Вы понимаете, что я проголосовал за то, чтобы этот вопрос переместился? Нет причин для этого. –
Я знаю, что ваш ответ будет двигаться, но нет, я не знал, что вы голосовали за то, чтобы двигаться. Как я узнаю, потому что ты не упоминал о том, что это не в том месте? –
Добавить предложение, воспитывающее ОП, и я уберу нижнее ноль –