是的,在Linux上,您可以使用’ find '命令检查最近修改的文件。此实用程序可以搜索在指定天数内修改过的文件。你可以这样使用它:
查找主目录中最近24小时(1天)内修改过的文件。
find ~ -type f -mtime -1
命令说明:
-“~”表示您的主目录。
- ’ -type f '指定要查找文件(而不是目录)。
- ’ -mtime -1 ‘指定最近1天内修改的文件。(更改’ -mtime '后面的数字以搜索几天或几天前修改的文件。)
如果你想检查整个文件系统并拥有必要的权限,你可以运行:
sudo find / -type f -mtime -1
这将花费更长的时间,并将输出大量文件,特别是那些通常由系统进程更新的文件。
对于更具体的调查,您可以使用其他选项,如’ -ctime ‘(更改时间)或’ -atime ‘(访问时间),尽管根据文件系统的挂载选项(如’ noatime '),这些指标可能不太可靠。
例如,要查找在过去24小时内访问过的文件:
find ~ -type f -atime -1
或者查找元数据在过去24小时内发生变化的文件:
find ~ -type f -ctime -1
如果你怀疑你的账户可能被黑客入侵,你还应该看看其他指标,而不仅仅是最近编辑的文件:
- 检查系统的授权日志,可能会显示未经授权的登录尝试:
sudo less /var/log/auth.log
- 检查正在运行的进程是否有异常情况:
ps aux
- 检查打开的网络连接:
sudo netstat -tulnp
- 检查任何未经授权的用户帐户:
cat /etc/passwd
- 查找可疑的计划任务:
crontab -l