很多时候,我们可以通过查看文件改动时间(mtime)来直观的判断文件是否为自己上传,从而断定网站是否曾被黑.
对于服务器管理员,我们可以通过查看mtime来缩短检查数据时间.
开始我们简单了解下文件时间:
access time atime在读取文件或执行文件时会修改
create time ctime在文件写入,更改所有者,权限。链接时文件的ctime会随之改变
modified time mtime 在文件写入时会改
接下来我们该如何去检查自己数据是否变更:
(1)使用find 命令:
查找在某个时间段之间(如20160228—20160301)的文件,可以使用如下命令:
>> find . -newermt ‘20160228’ ! -newermt ‘20160301’
找出”3天以前被改动过的文件”
>> find . -mtime +3 -type f -print
找出”3天内被改动过的文件”
>> find . -mtime -3 -type f -print
找出”第三天被改动过的文件”
>> find . -mtime 3 -type f -print
>> find . -mtime +2 -mtime -4 -type f -print
注: “.” 表示当前目录
(2)其实最直观的方式就是进行文件时间排序
>> cd 相应目录
>> ls -lrt
-l use a long listing format 以长列表方式显示(详细信息方式)
-t sort by modification time 按修改时间排序(默认最新时间的在最前面)
-r reverse order while sorting (反序)