linux下如何查看文件被篡改

最新推荐文章于 2024-07-09 20:15:03 发布
转载 最新推荐文章于 2024-07-09 20:15:03 发布 · 3.4k 阅读 · 0
文章标签:

#linux

本文详细介绍如何使用Inotify工具在Linux系统中监控文件或目录的状态变化,包括创建、删除、修改等事件,适用于系统管理员和开发人员进行实时文件监控。
Linux之Shell脚本实战】检查文件是否被修改脚本
jks212454的博客
04-17 2010
Linux之Shell脚本实战】检查文件是否被修改脚本
linux防止黑客修改敏感文件的方法
惠惠软件
12-03 2714
/上锁:[root@muban ~]# chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab/解锁:[root@muban ~]# chattr -i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab 想要更安全,可以把chattr改名转移,防止被黑客利用。
linux shell实现md5检测文件是否被修改
z19861216的博客
07-08 692
linux shell实现md5检测文件是否被修改
Linux查看目录谁修改的,linux怎么查看谁修改文件
weixin_34145418的博客
04-28 2518
下面用不同的方式只列出所有你今天创建或修改的文件(直接或间接)。1、 使用 ls 命令,只列出你的 home 文件夹中今天的文件。# ls -al --time-style=+%D | grep 'date +%D'其中:-a - 列出所有文件,包括隐藏文件-l - 启用长列表格式--time-style=FORMAT - 显示指定 FORMAT 的时间+%D - 以 %m/%d/%y (月/日/...
学习检查Linux是否遭到入侵篡改
传说中的小黑的博客
08-02 2748
最近在忙服务器上线的事,所以不可避免的要预防系统入侵的方案,所以在学习怎样检查判断自己的系统是否被别人动过. 1.安装个后门监测软件,查查关键文件是否被篡改过 我下了个chkrootkit 安装过程 yum install gcc gcc-c++ make yum install glibc-static cd /usr/local/src/ wget ftp
Linux查看谁修改的文件,linux如何查看近来修改的文件
weixin_29660659的博客
05-10 3578
下面用不同的方式只列出所有你今天创建或修改的文件(直接或间接)。1、 使用 ls 命令,只列出你的 home 文件夹中今天的文件。# ls -al --time-style=+%D | grep 'date +%D'其中:-a - 列出所有文件,包括隐藏文件-l - 启用长列表格式--time-style=FORMAT - 显示指定 FORMAT 的时间+%D - 以 %m/%d/%y (月/日/...
linux查看文件是否被编辑,Linux下使用md5sum查看文件程序是否被修改
weixin_39707201的博客
04-29 483
你怎么知道你的系统是否被入侵过?呵呵,你可能 说看日志啊 ,如果你遇到了高手他们会清除他们入侵的日志啊!那怎么办呢,我们想一想 他们入侵系统做什么呢 ,无非就是取得一些系统的权嘛,然后用这些权利去执行他们的程序,既然要取得一些权利,无非就是新建用户,组啊,修改一些特殊的程序来挂马啊,我们就可以通过查看我们的关键的程序文件是否被修改过来判断有没有被入侵啊.(那为什么不看日志有没有被修改过来看是否被...
linux下的文件感染病毒
12-16
3. **修改头信息**:为了使病毒代码能被执行,病毒会篡改ELF文件的头部信息,使得系统加载器执行病毒代码。 4. **隐藏自身**:病毒可能会修改文件属性,使其不易被发现,如隐藏文件属性。 对于防止和清除Linux下的...
linux检测文件变动,如何检测linux系统重要文件是否被更改的shell脚本
weixin_28909601的博客
04-28 1758
#!/bin/bash#此脚本用于检测linux系统重要文件是否被改动,如果改动则用邮件报警#建议用定时任务执行此脚本,如每5分钟执行一次,也可修改此脚本用于死循环检测#Ver:1.0#定义验证文件所在目录FileDir='/var/CheckFile'#获取主机名或自己定义HostName=$(hostname)#定义邮件参数:xmtp地址,发送邮件帐号,发送邮件密码,接收邮件地址,邮件主题,邮...
linux使用chattr与lsattr设置文件/目录防串改
木简熙的博客
07-09 736
linux使用chattr与lsattr设置文件/目录防串改
Linux 监控文件被什么进程修改(详解)
01-10
安装: apt-get install auditd. 1.auditd 是后台守护进程,负责监控记录 2.auditctl 配置规则的工具 3.auditsearch 搜索查看 4.aureport 根据监控记录生成报表 比如,监控 /root/.ssh/authorized_keys 文件是否被修改过: aditctl -w /root/.ssh/authorized_keys -p war -k auth_key •-w 指明要监控的文件 •-p awrx 要监控的操作类型,append, write, read, execute •-k 给当前这条监控规则起个名字,方便搜索过滤 查看
linux系统被入侵文件权限被修改了,浅谈 linux 被入侵排查方法
weixin_35244067的博客
05-15 1127
一:概述本文主要通过查看系统相关信息排查系统能否被入侵。二:排查方法1:查看登陆账号信息 last -a ,能否陌生账号和IP信息who last -a2:查看/etc/passwd 文件内容多个0权限ID和异常IDpasswd -0 id3:查看 cat /var/log/secure | more | grep "authentication failure" 失败信息和 last -a 信息...
linux校验文件是否被修改过&验证网络文件传输的完整性
qq_45255417的博客
01-21 1038
md5sum md5sum命令采用MD5报文摘要算法(128位)计算和检查文件的校验和。一般来说,安装了Linux后,就会有md5sum这个工具,直接在命令行终端直接运行。 MD5算法常常被用来验证网络文件传输的完整性,防止文件被人篡改。MD5 全称是报文摘要算法(Message-Digest Algorithm 5),此算法对任意长度的信息逐位进行计算,产生一个二进制长度为128位(十六进制长度就是32位)的“指纹”(或称“报文摘要”),不同的文件产生相同的报文摘要的可能性是非常非常之小的。 siasun
linux服务器监控谁改了文件,linux服务器文件监控
weixin_39938875的博客
08-10 462
linux服务器文件监控 内容精选换一换cd /opt/dis-agent-X.X.X/logstail -100f dis-agent.log显示如下信息,表示Agent正常运行。Agent: Startup completed in xx msAgent运行异常,常见问题原因和处理方法如下:HttpClientErrorException: 400 Bad Request可对于一键式重置密码插...
linux通知链,基于Linux内核通知链技术的文件篡改方法及系统与流程
weixin_32200329的博客
05-27 362
技术特征:1.基于linux内核通知链技术的文件篡改方法,其特征在于,包括如下步骤:s1、启动系统程序,获取并校验输入参数是否合法,并在不合法时程序退出;s2、在验证输入参数合法时,校验输入参数的路径或文件目录是否存在,并在不存在时程序退出;s3、在验证存在路径或文件目录时,判断操作系统是否存在chattr命令,并在存在时,将chattr程序修改为防篡改程序;s4、初始化inotifyeven...
Linux 监控文件被什么进程修改
weixin_33753003的博客
01-08 2644
安装: apt-get install auditd. auditd 是后台守护进程,负责监控记录 auditctl 配置规则的工具 auditsearch 搜索查看 aureport 根据监控记录生成报表 比如,监控 /root/.ssh/authorized_keys 文件是否被修改过: aditctl -w /root/.ssh/authorized_keys -p wa...
linux找出最近或者今天被修改的文件
热门推荐
煜铭2011
01-08 1万+
0x01 列出某个目录下今天创建或者修改的文件 cd /home/ym 1 显示目录home/ym下,今天创建或者修改的文件 ls  -al --time-style=+%D | grep 'date +%D' 参数解释: -a - 列出所有文件,包括隐藏文件 -l - 启用长列表格式 --time-style=FORMAT - 显示指定 FORMAT 的时间 +%D - 以
Linux-查看命令文件是否被修改
centerschool的博客
06-29 6454
# stat /usr/bin/ps File: `/usr/bin/ps' Size: 1135000 Blocks: 2232 IO Block: 4096regular file Device: fd03h/64771d Inode: 72419259 Links: 1 Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: (0/ root)
Linux 如何使用脚本监控重要的文件内容是否被修改
swdesh的博客
09-18 2083
Linux 如何使用脚本监控重要的文件内容是否被修改 本文以监控“定时计划任务”var/spool/cron目录下的文件为例,实现当root、hzsis等文件发生改变时会自动备份原文件并以邮件方式发送给相关人员。(前提需要系统已经搭建好邮箱系统) 首先,需要先建立管控的文件:/usr/home/EDP/monitorjob.lst [root@vm ]$ cat /usr/home/EDP/monitorjob.lst root hzsis 创建对比的文件如下,主要用于与/var/spool/cron下
linux文件篡改
最新发布
09-26
<think> 嗯,用户询问Linux系统文件篡改的实现方法,需要整合提供的四个引用内容。这些引用主要提到了三种技术路径:虚拟文件系统层防护、文件属性控制和应用层规则防护。 用户提供的引用材料很有意思,引用[1]提到基于Linux虚拟文件系统的防篡改系统,这属于内核层防护;引用[2][3]都涉及应用层规则防护,特别是云帮手面板的操作流程;引用[4]则介绍了文件属性控制这种基础方法。 考虑到用户可能是服务器管理员,实际需求应该兼顾操作便捷性和防护强度。内核级的虚拟文件系统防护虽然高效但实现复杂,而chattr +i这样的基础命令虽然简单但防护力度有限。应用层工具可能是最适合普通用户的方案。 准备在回复时采用分层结构:先说最简单的文件属性锁定方案,这是每个Linux系统都自带的功能;接着介绍主流的AIDE和Tripwire工具,它们属于专业级解决方案;然后解释内核级的虚拟文件系统防护原理;最后推荐All in one工具云帮手。每个方案都会补充防护强度的说明。 用户没有说明具体场景,但引用[3]提到"十几个网站首页被篡改",所以需要特别强调对网站目录的保护措施。回复中将把目录防护作为独立板块说明,比如用chattr -R递归锁定目录,以及检测脚本的编写要点。 </think> 在Linux系统中实现文件篡改的核心目标是确保关键文件不被恶意修改或删除,以下是综合多种技术路径的详细实现方案: --- ### **一、文件属性控制(基础防护)** **原理**:通过扩展属性(ext2/3/4文件系统)锁定文件 **操作步骤**: 1. **添加不可变属性**(禁止修改/删除): ```bash sudo chattr +i /path/to/file # 锁定文件 sudo chattr +i -R /path/to/dir # 递归锁定目录 ``` 2. **添加只追加属性**(仅允许追加内容,适用日志文件): ```bash sudo chattr +a /var/log/secure.log ``` 3. **解除锁定**(需时临时操作): ```bash sudo chattr -i /path/to/file ``` **特点**:内核级防护,但需注意: - ✘ 无法防御覆盖型攻击(如`echo > file`) - ✘ 需手动配置,无实时监控能力[^4] --- ### **二、完整性校验工具(主动检测)** **工具推荐**: 1. **AIDE**(Advanced Intrusion Detection Environment) ```bash sudo apt install aide # Debian/Ubuntu sudo aideinit # 初始化数据库 aide --check # 手动校验 ``` 2. **Tripwire**(企业级方案) ```bash sudo tripwire --init # 创建基准数据库 sudo tripwire --check # 执行校验 ``` **检测流程**: 1. 初始化文件哈希数据库 2. 定期比对文件哈希值 3. 邮件告警异常变更 **优势**: - ✔️ 精准识别篡改行为 - ✔️ 支持自动化扫描[^2] --- ### **三、内核级虚拟文件系统防护(高级防护)** **原理**:拦截文件系统调用(VFS层) **实现方案**: 1. **内核模块**(如`fanotify`): ```c #include <fcntl.h> #include <sys/fanotify.h> // 监控打开/写入事件并拦截 ``` 2. **商业方案**: - 基于eBPF的动态监控 - 安全容器技术(如AppArmor/SELinux规则强化) **技术特点**: - ✔️ 实时阻断篡改行为 - ✘ 开发复杂度高,需定制内核模块[^1] --- ### **四、应用层防护工具(一键部署)** **操作流程**(以云帮手面板为例[^3]): 1. 面板入口:`安全防护 > 文件防护` 2. 创建规则: - 指定防护目录(如网站根目录`/var/www/html`) - 设置进程白名单(如Nginx/PHP进程) 3. 效果验证: - 尝试篡改文件 → 返回"文件传输失败" - 非保护目录可正常写入 **优势**: - ✔️ 图形化操作,适合批量管理 - ✔️ 支持进程级权限控制 --- ### **五、网站目录专项防护方案** ```bash # 1. 递归锁定目录(禁止非授权写入) sudo chattr -R +i /var/www/html # 2. 部署监控脚本(示例) #!/bin/bash while true; do if [ $(stat -c %Y /var/www/index.html) -gt $(date -d '5 min ago' +%s) ]; then echo "ALERT: 首页被修改!" | mail -s "篡改告警" admin@example.com cp /backup/index.html /var/www/ # 自动恢复备份 fi sleep 300 done ``` --- ### **方案对比决策表** | 方案 | 防护强度 | 实施难度 | 实时性 | 适用场景 | |--------------------|----------|----------|--------|-------------------| | 文件属性控制 | ★★☆ | ★☆☆ | ✘ | 静态配置文件 | | 完整性校验 | ★★★ | ★★☆ | ✘ | 合规审计场景 | | 内核级防护 | ★★★ | ★★★ | ✔️ | 核心系统文件 | | 应用层工具 | ★★☆ | ★☆☆ | ✔️ | Web服务器批量防护 | > **部署建议**: > - 关键系统文件:内核级防护 + 完整性校验 > - Web站点目录:应用层工具 + 实时监控脚本 > - 日志文件:`chattr +a`只追加属性 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值