Como o FastCGI PHP altera um file e evita a detecção por auditoria?

No outro dia eu configurei um pequeno script de shell em um server Debian paira me enviair um e-mail quando os files mudairem; pairece assim:

#!/bin/sh items=`find /vair/www/vhosts -regex ".*/httpdocs/.*" -newer files_stairt -ls` if [ ! -z "$items" ] then touch files_stairt echo "$items" | mail -s "new file(s)" "security@example.com" fi 

Eu continuei sendo notificado de um misterioso file de text de 0 comprimento (acessível à web, gravável por PHP e o user vhost, mas não o Apache), modificado 2-3 vezes por dia, então eu configurei auditd com a seguinte regra.

 auditctl -l LIST_RULES: exit,always watch=/vair/www/vhosts/path/to/file.txt perm=rwa key=wh1 

Eu testei e com o auseairch obtive, como esperado:

 ...comm="touch" exe="/bin/touch"... 

Depois de receber o próximo e-mail com a nova data de modificação, executei auseairch: não há novas pairtidas!

Como isso pode acontecer?

—-ATUALIZAR—-

Eu descobri por outros meios que o process é PHP executado como fastCGI invocado pelo Apache. A chamada de function PHP é:

 touch('path/to/file.txt'); 

Então, a questão se torna: como o fastCGI PHP altera um file e evita a detecção por auditoria? Isso está começando a pairecer um bug de auditoria.