Как я могу контролировать файловую систему Linux для файлов, которые были изменены или добавлены в течение определенного периода времени?
Решенный этот самостоятельно - установка php5-dev 5.3 дает Вам phpize И phpize5. phpize5 имеет все новейшие API. Я все еще любил бы знать, как заставить значение по умолчанию phpize иметь это, хотя - по крайней мере, без symlinking.
Запустите:
Лично, я испытал бы затруднения при сне ночью, если я просто не восстановил, каждый разъединяет от новой установки.
Я рекомендую сильно, что Вы делаете это, хакеры могут скрыть вещи и заставить их быть похожими, они изменились, даже если они имеют, если они достаточно хороши.
Почему находка не будет работать:
Например, для изменения времени изменения:
kbrandt@kbrandt: ~/scrap/touch] ls -l foo
-rw-rw-r-- 1 kbrandt kbrandt 4 2010-04-05 12:22 foo
[kbrandt@kbrandt: ~/scrap/touch] touch -m -t 199812130530 foo
[kbrandt@kbrandt: ~/scrap/touch] ls -l foo
-rw-rw-r-- 1 kbrandt kbrandt 4 1998-12-13 05:30 foo
ctime могло бы быть лучше искать, если Вы идете путем находки, но может быть простой способ изменить это также. Если не легкий, кто-то мог бы войти и просто отредактировать саму файловую систему с устройством, я воображаю.
Просто найденный следующим онлайн с ctime, не попробовали его хотя:
Since ctime is the last time the inode info was changed, you could
change the system date, make a new hardlink, remove it again and change
the date back.
И этот материал только использует инструменты, которые уже находятся в системе в пространстве пользователя, забывают то, что кто-то мог сделать, если они являются опытными в программировании ядра.
-
1Мы склоняемся к этому. – 5 April 2010 в 19:06
-
2+1 - doesn' t отвечают на вопрос, но дает лучший долгосрочный совет. – Zayne S Halsall 5 April 2010 в 20:21
-
3Zayne: Ya, Ignacio уже отправил свой ответ так никакой смысл в повторении его.... Я обновлю с тем, как простой это должно изменить mtime для предоставления немного большего количества вещества ответу. – Kyle Brandt 5 April 2010 в 20:26
-
4+1, соглашаясь с Kyle, реальный ответ не убирает, it' s уничтожение. serverfault.com/questions/6190/… А промежуточный достойный руткит спрячется от всех попыток обнаружения. – Avery Payne 5 April 2010 в 20:28
-
5Я считаю это лучшим ответом. – 5 April 2010 в 20:39
find команда с -mtime и -mmin предикаты могут сделать это.
-
1
Находка является, вероятно, Вашим лучшим выбором в этой точке, но я согласился бы с новыми установками. Однако, как Вы знаете, что Ваша база данных не была поставлена под угрозу также?
Большинство приложений как Joomla может извлечь выгоду из блокировки вниз полномочий файла. Я сомневаюсь, что Вашему веб-серверу нужен доступ для записи ко всем файлам/каталогам в дереве. Необходимо сделать их только для чтения кроме при необходимости.
Продвижение, мог бы я предполагать, что Вы выполняете некоторую форму IDS, такого как растяжка (http://sourceforge.net/projects/tripwire/) или помощник (http://www.cs.tut.fi/~rammer/aide.html).
Полезный совет - если Вы не можете избежать Joomla (или сторонние дополнения, которые являются крупнейшими преступниками), я настоятельно рекомендовал бы оставание в курсе известного использования там и отключил бы дополнения по мере необходимости:
http://www.exploit-db.com/list.php?description=joomla&author=&platform=&type=&port=&osvdb=&cve=
Dnotify мог бы быть интересным для Вас также: http://en.wikipedia.org/wiki/Dnotify
поскольку стрельба из укрытия "растяжки", на которую указывают, должна быть Вашим решением проблемы, с которой Вы сталкиваетесь. Это - замечательный инструмент, чтобы сделать аудит файловой системы и пять намного больше понимания его.