有时,网站被黑客入侵,入侵者隐藏新的或修改的文件,更改文件的日期 (mtime)。通常,他们将其设置为最近的日期。
使用类似的东西
find . -type f -ctime -3 -exec ls -ls {} \;
我可以找到过去 3 天内已更改或添加的文件,如果使用touch
或其他技巧更改了 mtime。
问题在于,这通常会产生一长串已被正常活动更改的文件。
我的想法是:如果我能找到具有“奇怪”ctime - mtime 的文件,那么监控就更简单了。在我的想法中,如果我能找到 mtime > ctime 或 mtime 和 ctime 非常不同的文件,这将大大简化。
有什么办法可以做到这一点find
吗?