我遇到的问题是,我发现最近 linux 的根目录下时不时会出现这样的大小为 0 的几个文件:wget-log wget-log.2 wget-log.1 ,然后我通过 audit 程序审计监控文件创建,发现是 wget 的创建的,但我查询日志的时候,发现调用 wget 的 pid=29212 进程已经不在了。而 ppid=1 ,uid=0 。
我现在重新添加了一些 weg 的进程监控规则。
-a always,exit -F arch=b64 -S execve -F exe=/usr/bin/wget -k wget_exec
我想,下次出现 wget-log 文件的时候 我有可以知道是谁在执行 wget 从哪里下载什么东西么?
就很奇怪,以前从来没有的。上月装了 vscode remote 连过之后,就开始没有固定规律的出现这些文件,删了过几天还会有。
- debian10 系统,root 用户,密钥登录。
- 查询了最近登录成功的日志,只有我自己的 ip
- 没有 wget 相关的计划任务,只有几个备份(压缩文件)的命令。
- 在 syslog 和 auth.log 也搜不到 wget 相关的任何东西
- 之前一直用 tabby 这个终端,没有问题。
- 上月底开始用 vscode remote ssh 后,就偶尔出现这些文件。目前也是 2 个终端都用。
- 机器上直接装的程序只有 rclone (装之前就出现上述文件了),其他服务都是 docker 运行的。
请问各位懂哥,大神,这是什么原因呢?不行就只能重装系统了,不舒服。
1
Select Language