请教 /root/目录下自己出现奇怪数字文件

2023-02-09 17:17:52 +08:00

rayn32

服务器下自己出现的奇怪数字文件全部空的，也不知道哪个程序创建的特来请教，有知道或者怎么查找的的说一说呗

root@node-1 ~ # ls
72830066  72879309  72892302  72921932  72930730  72952308  73103485  go

-rw-r--r--  1 root root    0 Feb  3 09:58 25343934
-rw-r--r--  1 root root    0 Feb  6 10:31 25429538
-rw-r--r--  1 root root    0 Feb  6 11:06 25430235
-rw-r--r--  1 root root    0 Feb  7 00:15 25445814
-rw-r--r--  1 root root    0 Feb  7 01:04 25446781

2220 次点击

所在节点

Linux

7 条回复

okakuyang

2023-02-09 17:24:47 +08:00

被黑了

string2020

2023-02-09 17:25:28 +08:00

一个个进程排除没啥其他办法

libook

2023-02-09 17:33:24 +08:00

看起来像每个小时自动执行，你可以看看 corntab 或者 systemd 的 timer 。

lookStupiToForce

2023-02-09 18:08:56 +08:00

you can try searching it in English and you will get:

serverfault[.]com/questions/320716/find-out-which-process-is-changing-a-file

Tink

2023-02-09 18:43:53 +08:00

cron

feedcode

2023-02-09 19:48:48 +08:00

首先确保 auditd 已经安装并且启动，然后加一条 audit 规则

```
auditctl -w /root -p w -k monitor_root_dir
```

日志会写到 /var/log/audit/audit.log 或者 /var/log/audit.log ，里面有 uid, gid, pid

cmingxu

2023-02-23 09:19:31 +08:00

打开 trace event ，定位下 open 系统调用

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/914655

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.