监控Linux文件变化

x体系一切皆文件，系统文件的变化往往反应着系统的变化，比如系统应用的更新、系统的操作活动(可以用安全审计来确定)或系统被黑。根据虫虫多年来维护经验系统被黑最明显之一的特征就是系统文件变化，包括不限于：

• /bin (替换基本工具为恶意木马等，比如netstat，ps等)
• /sbin (替换基本工具为恶意木马等，比如sshd，lsof，ss等)
• /usr/bin(替换基本工具为恶意木马等，比如sshd，lsof，ss等)
• /usr/sbin (替换基本工具为恶意木马等，比如sshd，lsof，ss等)
• /etc/init.d (修改开机启动任务，添加恶意脚本开机启动)
• /etc/
• /etc/cront.d (修改计划任务，添加恶意脚本定时执行)
• /etc/crontab (修改计划任务，添加恶意脚本定时执行)
• ~/.ssh/目录 (注入公钥)
• /etc/sysconfig (修改iptables配置等，开放网络限制)
• /etc/ssh/ (修改ssh配置)
• web目录 (修改网站)

等目录下文件被替换或者添加非法文件。

加强对这些目录和文件的监控，就可以在一定程度上防止系统被黑，以及系统被黑，而无法发现的问题。

find –mtime目录文件变化

监控系统变化的最简单，最常用的方法是使用find命令，其-mtime表示最近有过变动的文件。

比如要查看一天内/usr/bin目录下变化过的文件可以使用

（编辑：阜阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!