校验文件是否被窜改（服务器被黑）

1、发布前存储项目所有文件指纹信息
#首先用md5sum校验代码
#网站根目录路径
src="/home/wwwroot/bbs/"
#指纹文件
backup="/server/backup_code"
if [ ! -d $backup ] ;then
mkdir -p $backup
find $src -type f |xargs md5sum > $backup/md5sum.code
fi
#将网站根目录下的所有文件做一个统计(可以校验出增加或者删除文件)
find $src -type f > $backup/check_site.log
2、校对文件指纹
src="/home/wwwroot/bbs/"
backup="/server/backup_code"
logs="/tmp/check_logs"
src_count=cat $backup/check_site.log |wc -l
while true
do
check_fail=md5sum -c $backup/md5sum.code 2>/dev/null | grep -i "failed" #检查是否失败
fail_count=md5sum -c $backup/md5sum.code 2>/dev/null | grep -i "failed"|wc -l #失败数
find $src -type f > $backup/new_site.log #汇总当前项目下所有文件
new_count=cat $backup/new_site.log | wc -l #当前项目文件总数
if [ ${fail_count} -ne 0 ] || [ ${new_count} -ne ${src_count} ] #比对失败数不低于0或者当前文件总数与原文件总数不相等
then
echo ${check_fail} > $logs #打印比对失败的
diff $backup/check_site.log $backup/new_site.log >> $logs #打印比对不同的文件名
mail -s “the root is changed” xxxxxx@aliyun.com < $logs #将日志内容发送邮件
fi
sleep 300 #每300s校对一次
done
解析:
src、backup、logs分别是网站根目录路径、备份文件路径和把被修改的内容追加到文件中
#校验被修改的代码文件
check_fail=md5sum -c $backup/md5sum.db 2>/dev/null | grep -i "failed"
#对被修改代码和源代码数量做统计
fail_count=md5sum -c $backup/md5sum.db 2>/dev/null | grep -i "failed"|wc -l
src_count=cat $backup/check_site.log |wc -l
#对于当前网站文件的数量做统计
find $src -type f > $backup/new_site.log
new_count=cat $backup/new_site.log |wc -l
#假如被修改的代码不等于0或者当前代码文件的数量不等于之前文件的数量，证明网站被篡改了，然后就把被修改的内容追加到文件，并发送邮件
if [ ${fail_count} -ne 0 ] || [ ${new_count} -ne ${src_count} ]
then
echo ${check_fail} > $logs
diff $backup/check_site.log $backup/new_site.log >> $logs
mail -s “the root is changed” xxxxxx@aliyun.com < $logs
fi
引:https://www.ninexin.com/news/xingyexinwen/2019/1027/3371.html