【linux】文件修改记录

是的，在Linux上，您可以使用’ find '命令检查最近修改的文件。此实用程序可以搜索在指定天数内修改过的文件。你可以这样使用它:

查找主目录中最近24小时(1天)内修改过的文件。

find ~ -type f -mtime -1

命令说明:

-“~”表示您的主目录。

• ’ -type f '指定要查找文件(而不是目录)。
• ’ -mtime -1 ‘指定最近1天内修改的文件。(更改’ -mtime '后面的数字以搜索几天或几天前修改的文件。)

如果你想检查整个文件系统并拥有必要的权限，你可以运行:

sudo find / -type f -mtime -1

这将花费更长的时间，并将输出大量文件，特别是那些通常由系统进程更新的文件。

对于更具体的调查，您可以使用其他选项，如’ -ctime ‘(更改时间)或’ -atime ‘(访问时间)，尽管根据文件系统的挂载选项(如’ noatime ')，这些指标可能不太可靠。

例如，要查找在过去24小时内访问过的文件:

find ~ -type f -atime -1

或者查找元数据在过去24小时内发生变化的文件:

find ~ -type f -ctime -1

如果你怀疑你的账户可能被黑客入侵，你还应该看看其他指标，而不仅仅是最近编辑的文件:

1. 检查系统的授权日志，可能会显示未经授权的登录尝试:

sudo less /var/log/auth.log

2. 检查正在运行的进程是否有异常情况:

ps aux

3. 检查打开的网络连接:

sudo netstat -tulnp

4. 检查任何未经授权的用户帐户:

cat /etc/passwd

5. 查找可疑的计划任务:

crontab -l