0

有时,网站被黑客入侵,入侵者隐藏新的或修改的文件,更改文件的日期 (mtime)。通常,他们将其设置为最近的日期。

使用类似的东西

find . -type f -ctime -3 -exec ls -ls {} \;

我可以找到过去 3 天内已更改或添加的文件,如果使用touch或其他技巧更改了 mtime。

问题在于,这通常会产生一长串已被正常活动更改的文件。

我的想法是:如果我能找到具有“奇怪”ctime - mtime 的文件,那么监控就更简单了。在我的想法中,如果我能找到 mtime > ctime 或 mtime 和 ctime 非常不同的文件,这将大大简化。

有什么办法可以做到这一点find吗?

4

1 回答 1

0

列出当前目录中修改日期(stat -c %Y)与更改日期(stat -c %Z)不同的所有文件

stat -c %n#%Y#%Z * | awk -F# '{if ($2 != $3) print $1}'

对于那些在执行之前不想了解的人

find . -type f -exec stat -c %n#%Y#%Z {} \; | awk -F# '{if ($2 != $3) print $1}'

于 2020-02-06T09:26:03.793 回答