find / -mtime -4 -print

Visualizza in tutto il file system i file modificati negli ultimi 4 giorni (sostituire con il numero di giorni passati da quando si ritiene essere stata fatta l'instrusione). Può essere utile per individuare tracce lasciate dall'intrusore non coperte. Quando viene modificato un comando come ps, tipicamente la data di modifica viene lasciata inalterata, tuttavia altre tracce di attività illegittima (compilazione del rootkit, modifica di file dove non si è corretta la data ecc.) possono essere rivelate.

Authoring

al - Site: http://www.lab42.it
Tipo Infobox: BOFH
Skill Level: 3- INTERMEDIATE
Ultimo Aggiornamento: 2002-08-19 16:35:53
Data di creazione: 2002-08-19 16:35:53
Lingua:

More info:

Rootkits

Analisi della logica dei rootkit e dei metodi per individuarli - chkrootkit

Linking

Discuting

Rispondi

Postilla a find / -mtime -4 -print

pac on 2004-01-17 09:49:38

Nel caso abbiate due o più sistemi operativi sul vostro computer e volete che find si limiti ad esaminare il sistema in uso senza esaminare per esempio il disco windows aggiungete il parametro -mount o -xdev

In pratica :

find / -mtime -4 -mount -print