监控Web站点目录(/var/html/www)下的所有文件是否被恶意篡改(文件内容被更改)
文件内容被改动了会有如下特征:
1.大小可能会变化
2.修改时间会变化
3.文件内容会变化。利用nd5sun指纹校验
4.增加或删除文件,对比每次监测前后的文件数量
第一步:在企业网站发布代码之后,即对所有网站数据建立初始指纹库和文件库,这个步骤很重要,没有基础的指纹 库,无法进行入侵监测
1.建立测试数据
mkdir /var/htnl/ww -p
cp -a /etc/a* /var/html/u/
cp -a /etc/b* /var/html /www/
Is /var/html/www
2.建立初始的文件指纹库
3.建立初始文件库
第二步:检测文件内容和文件数量的变化
1.检测文件内容的变化
篡改文件内容:echo westos >> /var/html/www/bashrc
检查所有文件内容是否变化:
2.检测文件数量的变化
新增加文件数:
利用指纹库无法检测新增文件
获取检测前的所有文件数量及文件名
采用diff命令比较