【分享】浅谈从linux文件变更时间来查看网站是否被黑

wenbo2010 · 发表于 2016-3-25 16:17:06

很多时候,我们可以通过查看文件改动时间(mtime)来直观的判断文件是否为自己上传,从而断定网站是否曾被黑.
对于服务器管理员,我们可以通过查看mtime来缩短检查数据时间.

开始我们简单了解下文件时间:
access time atime在读取文件或执行文件时会修改
create time ctime在文件写入，更改所有者，权限。链接时文件的ctime会随之改变
modified time mtime 在文件写入时会改

接下来我们该如何去检查自己数据是否变更:
(1)使用find 命令:
查找在某个时间段之间(如20160228—20160301)的文件,可以使用如下命令:
>> find . -newermt ‘20160228’ ! -newermt ‘20160301’

找出”3天以前被改动过的文件”
>> find . -mtime +3 -type f -print

找出”3天内被改动过的文件”
>> find . -mtime -3 -type f -print

找出”第三天被改动过的文件”
>> find . -mtime 3 -type f -print
>> find . -mtime +2 -mtime -4 -type f -print
注: “.” 表示当前目录

(2)其实最直观的方式就是进行文件时间排序
>> cd 相应目录
>> ls -lrt
-l use a long listing format 以长列表方式显示（详细信息方式）
-t sort by modification time 按修改时间排序（默认最新时间的在最前面）
-r reverse order while sorting （反序）

zhuandafa · 发表于 2016-3-26 09:33:52

学习学习了。

吃的多，游不动 · 发表于 2016-3-28 15:20:48

【分享】浅谈从linux文件变更时间来查看网站是否被黑

HostEase讨论