Как найти измененные файлы в директории в linux, не опираясь на дату. Для примера найти залитый шел.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Как найти измененные файлы в директории?
- Автор темы Nagan0
- Дата начала
Решение
Установка пакета для создания хэшей
Создание хэшей в директории
Для проверки изменений
apt-get install md5deepСоздание хэшей в директории
md5deep -r -s /directory1 > dir1hashesДля проверки изменений
md5deep -r -X dir1hashes /directory1
Все верно. ТОлько делать хэши нужно было раньше.
Хорошим тоном является хэшить все на этапе ПостУстановки\настройки системы.
Потом что то доустановили\изменили - реХэш
Есть еще утилита auditd.
Можно мониторить любой системный вызов, кем был вызван, какой файл и тд
Пример с директорией
Устанавливаем
apt\yum install auditd
Создаем правило, на мониторинг чтения\записи\выполнения\изменения прав директории /home/user/
auditctl -w /home/user/ -p rwxa
Смотрим что насобирало
ausearch -f /home/user/
Можно мониторить любой системный вызов, кем был вызван, какой файл и тд
Пример с директорией
Устанавливаем
apt\yum install auditd
Создаем правило, на мониторинг чтения\записи\выполнения\изменения прав директории /home/user/
auditctl -w /home/user/ -p rwxa
Смотрим что насобирало
ausearch -f /home/user/