inotify如何检测恶意软件

inotify检测恶意软件的思路与要点

工作原理与能力边界

• inotify 是 Linux 内核提供的文件系统事件机制，可实时捕获目录与文件的创建、删除、修改、移动、属性变更等事件，适合做“行为侧”异常发现与即时告警。它高效、事件驱动，避免轮询开销。
• 关键边界：inotify 能告诉你“哪个路径发生了什么事件”，但默认无法直接告诉你“是哪个进程（PID/PPID/命令行）触发的”；同时它不提供跨主机取证能力，需要与日志、审计或进程信息联动。
• 适用场景：监控 /var/www、~/.ssh、/etc、/usr/bin 等敏感路径的异常变更，用于入侵早期预警与响应自动化。

检测思路与典型场景

• 关键文件与配置篡改：对 /etc/passwd、/etc/shadow、/etc/ssh/sshd_config 等设置“修改/属性变更”监控，一旦出现未授权变更，立即告警并尝试回滚或隔离。
• Web 目录可疑落地：对 /var/www/html 等目录监控“创建/写入/移动”事件，识别陌生脚本（如 .php/.jsp/.sh）落地、Webshell 写入、配置文件被覆盖等。
• 可疑执行与持久化：对 ~/.bashrc、~/.profile、/etc/rc.local、/etc/cron.*、/var/spool/cron 等设置“写入/创建”监控，发现异常持久化与提权企图。
• 日志篡改与清空：对 /var/log/auth.log、/var/log/secure、/var/log/syslog 监控“修改/删除/截断”，防止攻击者抹除痕迹。
• 临时目录与可疑落盘：对 /tmp、/dev/shm 等高风险目录监控异常可执行文件创建与执行链（配合执行事件与后续行为分析）。
• 容器与虚拟化：在 Docker/Kubernetes 容器内或宿主机上监控 /etc、/usr 等路径，快速发现容器内配置被篡改与后门植入。

快速上手与最小示例

• 安装工具：
  • Debian/Ubuntu：sudo apt-get install inotify-tools
  • CentOS/RHEL：sudo yum install inotify-tools（可能需要 EPEL）
• 最小监控脚本（捕获创建/修改/删除/移动/属性变更）：
  • inotifywait -mr --timefmt ‘%Y-%m-%d %H:%M:%S’ --format ‘%T %w%f %e’
    -e create -e modify -e delete -e attrib -e move
    /var/www /etc/ssh /home/*/.ssh | while read dt tm f e; do echo “$dt $tm $f [$e]” | tee -a /var/log/inotify_audit.log # 在此处加入告警/阻断逻辑，例如： # - 调用 webhook/snmp/邮件 # - 对恶意文件执行隔离（mv /tmp/suspicious.sh /root/quarantine/） # - 对关键文件触发服务重启或回滚 done
• 运行与守护：建议使用 nohup 或 systemd 服务托管，确保重启后持续监控；日志文件权限建议设为 600 并集中采集。

提升检测准确性的组合方案

• 关联用户与进程信息：inotify 本身不直接给出“谁/哪个进程”做的变更，可与 auditd 联动。先用 auditd 对关键路径设置审计规则（按用户/路径/返回码），再用 inotify 触发告警时，通过关键字从 ausearch 回溯最近相关审计记录，解析 auid→username 与进程信息，实现“事件+主体”的闭环。
• 完整性校验与基线对比：对 /etc、/usr/bin 等做周期性哈希基线（如 AIDE/Tripwire），inotify 负责“实时告警”，基线负责“事后验证与取证”。
• 日志防篡改与集中化：对 auth.log/secure 等启用 inotify 变更告警，同时将日志实时转发到 远程集中日志平台（如 rsyslog/ELK），降低本地被清空的风险。
• 自动化响应与联动：当命中高危事件（如 /etc/shadow 被改、sshd_config 被动），自动执行脚本：隔离文件、重启服务、下发 iptables/firewalld 封禁、通知工单系统。
• 性能与规模控制：避免过宽监控（例如直接监控 /），精确指定路径与事件；必要时调高内核参数 fs.inotify.max_user_watches，防止 “upper limit on inotify watches reached”。

局限性与注意事项

• 事件覆盖与逃逸：inotify 不覆盖所有场景，例如直接操作块设备、某些网络文件系统或已挂载的只读快照可能不产生事件；攻击者也可通过 mount --bind、chattr +i、删除后重建同名文件等方式规避。
• 进程溯源需配合审计：如需“哪个进程/哪个用户”，请结合 auditd/ebpf/bcc 等获取 PID/PPID/命令行/调用栈，避免单点误报。
• 资源与噪声控制：递归监控大目录会产生大量事件，需通过“白名单/黑名单、事件去重、速率限制、告警聚合”降低噪声与开销。
• 安全运维建议：最小权限运行监控进程、保护日志完整性、与主机/容器防护（如 AppArmor/SELinux、EDR）协同，形成多层防御。