Shell编程---监控网站目录文件是否被恶意篡改(md5sum指纹)

最新推荐文章于 2024-04-29 14:58:31 发布
最新推荐文章于 2024-04-29 14:58:31 发布
阅读量1.1k 收藏
点赞数
分类专栏: shell脚本 监控 工具 文章标签: 基础练习 面试题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuki5233/article/details/84063363
版权
工具 同时被 3 个专栏收录
32 篇文章 0 订阅
订阅专栏
shell脚本
23 篇文章 2 订阅
订阅专栏
监控
18 篇文章 1 订阅
订阅专栏
题目要求:使用shell脚本监控网站目录(/var/html/www)中的文件是否被篡改,如果有就打印出改动的文件名并用邮件告警。
分析:
概念:

什麽是恶意篡改?只要是未进过许可改动的都是恶意篡改。

文件被篡改了,会有特征:

a.文件大小可能会发生变化;
b.文件的修改时间会发生变化(文件测试符ot、nt等);
c.文件内容会发生变化(md5sum指纹);
d.文件目录中的文件被删除,或者文件目录中有其他文件增加;

注意:

需要文件信息记录库(变化前 VS 变化后,这个是衡量对比的标准)

实际应用:

1.代码发布方案:大公司或规范的公司,不会时刻上传代码,每天1-2次为宜。
2.服务器上的项目目录是否被黑客入侵进行恶意篡改。

解答:
命令行测试:
[root@myhost ~]# cd /var/www/html
[root@myhost html]# pwd
/var/www/html
[root@myhost html]# touch wenben1.txt
[root@myhost html]# cat wenben1.txt 
[root@myhost html]# md5sum wenben1.txt 
d41d8cd98f00b204e9800998ecf8427e  wenben1.txt
[root@myhost html]# echo "addContent to the file" >> wenben1.txt 
[root@myhost html]# cat wenben1.txt 
addContent to the file
[root@myhost html]# md5sum wenben1.txt 
009c4ee40b070fa48fb47c503642c0f1  wenben1.txt

[root@myhost html]# find /var/www/html/ -type f | xargs md5sum
009c4ee40b070fa48fb47c503642c0f1  /var/www/html/wenben1.txt
d41d8cd98f00b204e9800998ecf8427e  /var/www/html/wenben2.txt
[root@myhost html]# find /var/www/html/ -type f | xargs md5sum > /home/yuki/infoDB/md5sumBefore.log
[root@myhost html]# cat /home/yuki/infoDB/md5sumBefore.log
009c4ee40b070fa48fb47c503642c0f1  /var/www/html/wenben1.txt
d41d8cd98f00b204e9800998ecf8427e  /var/www/html/wenben2.txt

[root@myhost html]# md5sum -c /home/yuki/infoDB/md5sumBefore.log 
/var/www/html/wenben1.txt: OK
/var/www/html/wenben2.txt: OK
[root@myhost html]# md5sum -c /home/yuki/infoDB/md5sumBefore |egrep -i "fail"

#测试:修改文件中的内容(增加内容/减少内容/修改内容)
[root@myhost html]# echo "now we add sth to the file with name wenben2.txt" >> wenben2.txt 
[root@myhost html]# md5sum -c /home/yuki/infoDB/md5sumBefore.log |egrep -i "fail"
md5sum: WARNING: 1 of 2 computed checksums did NOT match
/var/www/html/wenben2.txt: FAILED

#测试:删除某个文件
[root@myhost html]# rm -rf wenben1.txt 
[root@myhost html]# md5sum -c /home/yuki/infoDB/md5sumBefore.log
md5sum: /var/www/html/wenben1.txt: No such file or directory
/var/www/html/wenben1.txt: FAILED open or read
/var/www/html/wenben2.txt: FAILED
md5sum: WARNING: 1 of 2 listed files could not be read
md5sum: WARNING: 1 of 1 computed checksum did NOT match

#测试:创建刚刚删除的文件
[root@myhost html]# touch wenben1.txt
[root@myhost html]# md5sum -c /home/yuki/infoDB/md5sumBefore.log 
/var/www/html/wenben1.txt: FAILED
/var/www/html/wenben2.txt: FAILED
md5sum: WARNING: 2 of 2 computed checksums did NOT match
#注意:向刚刚创建的文件恢复删除之前的内容,md5sum又和之前的一样了。
[root@myhost html]# echo "addContent to the file" >> wenben1.txt 
[root@myhost html]# md5sum -c /home/yuki/infoDB/md5sumBefore.log 
/var/www/html/wenben1.txt: OK
/var/www/html/wenben2.txt: FAILED
md5sum: WARNING: 1 of 2 computed checksums did NOT match

#测试:创建新的文件(新的文件代表着它的md5sum指纹从未被记录到文件记录信息库中去)
[root@myhost html]# touch newFresh.log
[root@myhost html]# md5sum -c /home/yuki/infoDB/md5sumBefore.log 
/var/www/html/wenben1.txt: OK
/var/www/html/wenben2.txt: FAILED
md5sum: WARNING: 1 of 2 computed checksums did NOT match

#注意:我发现md5sum从未被记录的新文件是无法被监控对比到是否被篡改了。
#但是,我们可以提前将这个目录的文件数量、信息都记录下来然后再将现在的文件数量和之前的进行对比就可以什麽新文件被创建了。

[root@myhost html]# ll
total 8
-rw-r--r--. 1 root root  0 Nov 14 14:01 newFresh.log
-rw-r--r--. 1 root root 23 Nov 14 13:58 wenben1.txt
-rw-r--r--. 1 root root 49 Nov 14 11:45 wenben2.txt
[root@myhost html]# find /var/www/html/ -type f | wc -l
3

#创建前记录
[root@myhost html]# find /var/www/html/ -type f > /home/yuki/infoDB/fileInfoBefore.log

#创建新文件
[root@myhost html]# touch wenben3.log
[root@myhost html]# ll
total 8
-rw-r--r--. 1 root root  0 Nov 14 14:01 newFresh.log
-rw-r--r--. 1 root root 23 Nov 14 13:58 wenben1.txt
-rw-r--r--. 1 root root 49 Nov 14 11:45 wenben2.txt
-rw-r--r--. 1 root root  0 Nov 14 14:09 wenben3.log
#创建后再记录
[root@myhost html]# find /var/www/html/ -type f > /home/yuki/infoDB/fileInfoAfter.log
#比较两个记录文件的不同
[root@myhost html]# diff /home/yuki/infoDB/fileInfoBefore.log  /home/yuki/infoDB/fileInfoAfter.log
diff: home/yuki/infoDB/fileInfoAfter.log: No such file or directory
脚本编写:
脚本1:篡改之前做文件信息记录库,(变化前 VS 变化后,这个是衡量对比的标准)
#!/bin/sh
source /etc/profile

#define variable
#定义一个需要监控的站点目录
siteDir="/var/www/html"
#定义一个文件信息库目录
path="/home/yuki/infoDB"
if [ !d ${path} ];
	then
		mkdir -p ${path}
fi
#做好的文件md5sum指纹记录文件
md5sumBeforeDB="${path}/md5sumBefore.log"
if [ -f ${md5sumBeforeDB} ];
	then 
		touch ${md5sumBeforeDB}
fi
echo `find ${siteDir} -type f | xargs > ${path}/md5sumBefore.log`

#篡改之前记录的需要监控目录下的文件数量、信息记录
fileInfoBefore="${path}/fileInfoBefore.log"
if [ -f ${fileInfoBefore} ];
	then 
		touch ${fileInfoBefore}
fi
echo `find ${siteDir} -type f > ${path}/fileInfoBefore.log`
脚本2:网站目录(/var/html/www)中的文件是否被篡改,如果有就打印出改动的文件名并用邮件告警。
#!/bin/sh
source /etc/profile

#define variable

#定义一个邮件地址
email=123456789@qq.com

#定义需要监控的站点目录
siteDir="/var/www/html"

#定义文件信息库目录
path="/home/yuki/infoDB"
if [ !d ${path} ];
	then
		mkdir -p ${path}
fi

#下面这个是之前就做好的文件md5sum指纹记录文件
md5sumBeforeDB="${path}/md5sumBefore.log"
fileInfoBefore="${path}/fileInfoBefore.log"

if [ ! -f ${md5sumBeforeDB}  -o ! -f ${fileInfoBefore}  ];
	then 
		echo "文件信息库的建立不完全,无法参照对比"
		exit 1
fi
fileNumBefore=`cat ${fileInfoBefore}|wc -l`

---------------------------------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------------------------------

#篡改之后记录的需要监控目录下的文件数量、信息记录
fileInfoAfter="${path}/fileInfoAfter.log"
if [ -f ${fileInfoAfter} ];
	then 
		touch ${fileInfoAfter}
fi
echo `find ${siteDir} -type f > ${path}/fileInfoBefore.log`
fileNumAfter=`cat ${fileInfoAfter}|wc -l`

#再继续定义一个记录篡改文件的篡改信息文件,方便后面邮件告警。
recordAllInfoLog="${path}/recordAllInfo.log"
if [ ! -f ${recordAllInfoLog} ];
	then
		touch ${recordAllInfoLog}
fi

#篡改标志可以通过两个方面进行比较:
#2>/dev/null 将错误信息追加空设备
changeNumFlag=`md5sum -c ${md5sumBeforeDB}  2 > /dev/null  |egrep -i "failed" | wc -l`
if [ ${changeNumFlag} -ne 0 ] || [ ${fileNumAfter} -ne ${fileNumBefore} ]
	then	
		echo `md5sum -c ${md5sumBeforeDB}  2 > /dev/null |egrep -i "failed"` > ${recordAllInfoLog}
		diff ${fileInfoAfter} ${fileInfoBefore} >> ${recordAllInfoLog}
		happenTime= `date "+%Y-%m-%d %H:%M:%S"`
		mail -s "the directory of the site on ${happenTime}  ${email}" < ${recordAllInfoLog}

fi
Yuki-He
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shell脚本检查文件是否有改动
u010037020的博客
02-22 2241
目的:检查某个文件夹及其子文件夹下的所有文件是否被改动。 思路: 1. 使用stat命令将所有文件的更改时间记录到文件A中。每个被扫描的文件文件A中被记录为一行。 2. 然后定期检查所有文件的最新更改时间。并将最新的更改时间记录到一个新文件B中。与A一样,每一行会记录一个被扫描文件的最新更改时间。 3. 逐行比较文件A和文件B。若某行不一致,则说明该行所表示的被扫描文件有改动。将这一行打...
监控web站点目录(/var/html/www)下所有文件是否恶意篡改
51DevOps-刺天冬
05-12 744
监控web站点目录(/var/html/www)下所有文件是否恶意篡改文件内容被改了),如果有就打印改动的文件名(发邮件),定时任务每3分钟执行一次。 [root@db01 ~]# mkdir -p /var/www/html [root@db01 ~]# find /etc -type f -name "*.conf" -exec cp {} /var/www/html/ \; [root@qls /service/scripts]# cat file_md5.sh #!/bin/bash
快速找出Linux服务器上不该存在恶意或后门文件_文件路径 root linux386 恶意文件md5 18f960a5ed2cd274edf268
最新发布
2401_83739821的博客
04-29 299
5 摘要(以前的MD5 sum)不同。L readLink(2)路径不匹配。M 模式不同(包括权限和文件类型)P caPabilities不同。D 设备主/次要号不匹配。
监控web站点目录下所有文件是否恶意篡改
weixin_34162695的博客
06-28 374
监控web站点目录下所有文件是否恶意篡改,(文件内容被改了)如果有的就打印改动的文件名定时任务:每三分钟执行一次监测一次文件篡改的特征:大小可能会变化(为什么说可能呢,如果把里面的值1改为2大小是不会变化的)修改时间会变化 (文件测试符ot,nt)文件内容会变化,通过md5sum指纹判断增加或者删除文件问题:代码发布方案:大公司或规范的公司,不会时刻传代码,每天1-2...
Shell脚本实现检测文件是否被修改过代码分享
01-10
#!/bin/bash funmd5_1() { find /root/passwd -type f | xargs md5sum > /tmp/funmd5_1.log } funmd5_2() { find /root/passwd -type f | xargs md5sum > /tmp/funmd5_2.log } if [ ! -f /tmp/funmd5_1.log ];then funmd5_1 fi funmd5_2 diff /tmp/funmd5_1.log /tmp/funmd5_2.log > /tmp/diff.log Status=$? if [ $Status
利用shell脚本监控目录文件改动
weixin_34090562的博客
09-15 560
#! /bin/bash webroot="/home/www/" cp /dev/null rsync_file if [ ! -f file.md5 ];then find $webroot -type f -exec md5sum {} \; >>file.md5 else for file in $(md5sum -c...
shell编程--用户信息管理(模拟).doc
02-24
本课设计的主要目的是让学生掌握 Linux 操作系统中 shell 脚本编程技术的各种知识点,包括变量定义、变量使用、循环控制结构、条件选择结构、用户交互、文件读写、文本内容分析以及 Linux 重要命令的使用等。...
Linux运维-3.Shell编程-12 shell编程-151break语句和contin
11-01
Linux运维-3.Shell编程-12 shell编程-151break语句和continue语句.avi
Linux运维-3.Shell编程-12 shell编程-150exit语句.avi
11-01
Linux运维-3.Shell编程-12 shell编程-150exit语句.avi
Linux运维-3.Shell编程-12 shell编程-149until循环.avi
11-01
Linux运维-3.Shell编程-12 shell编程-149until循环.avi
Linux运维-3.Shell编程-12 shell编程-148while循环.avi
11-01
Linux运维-3.Shell编程-12 shell编程-148while循环.avi
MD5文件校验,止他人篡改
03-31
通过MD5文件对比,可止他人恶意篡改资源,顾客使用放心。
检测目录文件变更数量及内容变更
weixin_34146986的博客
02-26 137
#!/bin/bashPATH=/bin:/sbin:/usr/bin:/usr/sbin/:/usr/local/bin:/usr/local/sbin:~/binexport PATHdir=/home/date_one_h=$(date +%Y%m%d%H -d '-1 hours')old_file=/root/$(date +%Y%m%d -d '2 day ago')source.fi...
java调用shell脚本获取证书指纹
flower_CSDN的博客
09-10 390
windows下cmd命令使用 cmd /c dir 是执行完dir命令后关闭命令窗口 cmd /k dir 是执行完dir命令后不关闭命令窗口 cmd /c start dir 会打开一个新窗口后执行dir命令,原窗口会关闭 cmd /k start dir 会打开一个新窗口后执行dir命令,原窗口不会关闭 cmd /? 查看帮助信息* Java程序中执行脚本文件 public sta...
Nrpe插件新定义对重要文件使用MD5判断文件被修改
cuanxixia1496的博客
11-12 94
Nrpe插件新定义对重要文件使用MD5判断文件被修改 1. 部署MD5文件到/usr/local/nagios/libexec 目录下,并注意文件权限 [root@localhost libexec]# ll ...
shell脚本监控目录文件篡改时报警
weixin_34262482的博客
11-29 299
思路:  目录文件篡改的几种可能:   1.被修改   2.被删除   3.新增文件 md5命令详解   参数:     -b 以二进制模式读入文件内容     -t 以文本模式读入文件内容     -c 根据已生成的md5值,对现存文件进行校验     --status 校验完成后,不生成错误或正确的提示信息,可以通过命令的返回值来判断 提示:md5sum 是校验...
Linux MD5值递归比对目录中的文件是否有修改
weixin_33966095的博客
08-17 157
项目上今天遇到检查两个版本的发布包rc1.tar.gz和rc2.tar.gz的一致性,解决方法做个总结,步骤如下 1. 建立文件夹 mkdir test_rc1 test_rc2 2. 文件解压缩 tar -zxvf rc1.tar.gz -C ./test_rc1/ tar -zxvf rc2.tar.gz -C ./test_rc2/ 3. 递归生成目录下的...
shell案例】一个脚本让你从此再也不怕删错文件
互联网老辛
08-25 2664
前言 最近又有学员删文件时候不小心删除了,导致删除错误删除了文件,之前也有过误删数据库,误删根的。 我也是在带出了这么多学员之后才发现,真的有人会误删,还没做讲师之前我以为这只是个梗。 解决误删除文件,我们有很多措施,等你删除了在去恢复,这种就属于第三流的运维了,第二流的运维有备份,第一流的运维不但有备份还有止误删除的机制。 今天我们就来写一个脚本,先解决删除文件没有提示的问题,然后解决删除前备份的问题 脚本源码 [root@ecs-c13b test]# cat rm.sh #!/bin/bash N
文件篡改脚本,一有文件被修改,立即发送报警短信
cnbird's blog
05-31 2666
#!/bin/bash #description: check files shell #author:coralzd powered by www.freebsdsystem.org checkdir=/data/www/bbs.xxx.com ipadd=`ifconfig |grep "inet" |cut -c 0-36|sed -e 's/[a-zA-Z: ]//g' |grep
"Shell编程-用户信息管理实践
本次课程设计旨在帮助学生掌握Linux操作系统中shell脚本编程技术,包括变量定义、变量使用、循环控制结构、条件选择结构、用户交互、文件读写、文本内容分析以及重要命令的使用等内容。通过设计一个模拟用户信息管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值