我正在尝试跟踪服务器中的一些后门,每天都在创建或修改新文件,并且读取访问日志我只能找到通过网络请求这些文件的IP地址。
由于我在FTP消息日志中找不到任何内容,我正在考虑如何跟踪文件创建。
我可以在etc / profile.d中设置一个自定义脚本,每次用户通过ssh登录时都会向我发送警报。
但是,我想知道是否有任何方法可以在创建或修改文件时发送类似的电子邮件警报,如果有可能获得进行这些更改的IP地址。
如果有人知道如何创建这些警报会很棒,这将有助于很多人在他们的网站上对抗恶意软件。
非常感谢您的帮助
答案 0 :(得分:0)
您可以使用inotify。但我通常更愿意解决这种疾病,而不是症状。即,跟踪你被黑客入侵并不能帮助你不被黑客入侵。保护您的系统。