监控web站点目录(/var/html/www)下的所有文件是否被恶意篡改(文件内容被更改
文件内容被改动了会有如下特征
1.大小可能会变化
2.修改时间会变化
3.文件内容会变化,利用md5sum指纹校验
4.增加或删除文件,对比每次检测前后的文件的数量
第一步:在企业网站发布代码之后,即对所有网站数据建立出事指纹库和文件库,这个步骤很重要,没有基础的指纹库,无法进行入侵监测
1.建立测试数据
2.建立初始的文件指纹库
3.建立初始文件库
第二步:监测文件内容和文件数量的变化
篡改文件内容
2监测文件数量的变化
开发脚本
前提:恢复操作