监控web站点目录下所有文件是否被恶意篡改

概述监控web站点目录（/var/html/www）下所有文件是否被tampered（文件内容被改了），如果有就打印改动的文件名（发邮件），定时任务每3分钟执行一次(10分钟时间完成) 说明： 文件被tampered了，会有特征： a.文件大小可能会发生变化； b.文件内容会发生变化（md5sum指纹）； c.文件目录中的文件被删除，或者文件目录中有其他文件增加； 注意： 需要文件信息记录库（变化前 监控web站点目录（/var/HTML/www）下所有文件是否被tampered（文件内容被改了），如果有就打印改动的文件名（发邮件），定时任务每3分钟执行一次(10分钟时间完成) @H_404_6@说明： @H_404_6@文件被tampered了，会有特征： @H_404_6@a.文件大小可能会发生变化； @H_404_6@b.文件内容会发生变化（md5sum指纹）； @H_404_6@c.文件目录中的文件被删除，或者文件目录中有其他文件增加； @H_404_6@注意： @H_404_6@需要文件信息记录库（变化前 VS 变化后，这个是衡量对比的标准） @H_404_6@所以会用到2个脚本，一个是获取tampered前的信息，一个是获取tampered后的信息 @H_404_6@获取tampered前的信息的脚本如下： @[email protected]# vim md5sum_before.sh @H_404_6@#!/bin/sh @H_404_6@####################################################### @H_404_6@#Shellname:Is www tampered with @H_404_6@#Author:zkg @H_404_6@#Created Time:2019-08-28 @H_404_6@#Blog Address: https://blog.51cto.com/1009516 @H_404_6@#######################################################

#define variable@H_404_6@wwwdir=/opt/shell/www@H_404_6@logdir=/opt/shell/filelog@H_404_6@md5sum_before=$logdir/md5sum_before.log@H_404_6@fileinfo_before=$logdir/fileinfo_before.log@H_404_6@#监控tampered之前文件md5sum值@H_404_6@if [ ! -d $logdir ];then@H_404_6@mkdir -p $logdir@H_404_6@fi@H_404_6@if [ ! -f $md5sum_before ];then@H_404_6@touch $md5sum_before@H_404_6@fi@H_404_6@find $wwwdir -type f|xargs md5sum > $md5sum_before@H_404_6@#记录tampered之前www目录下面文件数量@H_404_6@if [ ! -f $fileinfo_before ];then@H_404_6@touch $fileinfo_before@H_404_6@fi@H_404_6@find $wwwdir -type f > $fileinfo_before

获取tampered后的信息的脚本如下：@[email protected]# vim ../tampered.sh @H_404_6@#!/bin/sh@H_404_6@#######################################################@H_404_6@#Shellname:Is www tampered with @H_404_6@#Author:zkg @H_404_6@#Created Time:2019-08-28 @H_404_6@#Blog Address:https://blog.51cto.com/1009516 @H_404_6@#######################################################

#define variable@H_404_6@wwwdir=/opt/shell/www@H_404_6@logdir=/opt/shell/filelog@H_404_6@md5sum_before="${logdir}/md5sum_before.log"@H_404_6@fileinfo_before="${logdir}/fileinfo_before.log"@H_404_6@fileinfo_after="${logdir}/fileinfo_after.log"@H_404_6@email=632223282.qq.com@H_404_6@time=date "+%Y-%m-%d %H:%M:%s"@H_404_6@if [ ! -d $logdir ];then@H_404_6@echo "存储文件变化目录不存在，无法进行比对"@H_404_6@exit 1@H_404_6@fi@H_404_6@if [ ! -f $md5sum_before -o ! -f $fileinfo_before ];then@H_404_6@echo "存储文件变化的文件不存在，无法进行比对"@H_404_6@exit 1@H_404_6@fi@H_404_6@filenum_before=cat $fileinfo_before | wc -l

#记录tampered之后www目录下面文件数量@H_404_6@if [ ! -f $fileinfo_after ];then@H_404_6@touch $fileinfo_after@H_404_6@fi@H_404_6@find $wwwdir -type f > $fileinfo_after@H_404_6@filenum_after=cat $fileinfo_after | wc -l

#记录tampered 信息到文件中，邮件告警@H_404_6@emaillog=$logdir/emaillog.log@H_404_6@if [ ! -f $emaillog ];then@H_404_6@touch $emaillog@H_404_6@fi@H_404_6@#tampered标志可以通过两个方面进行比较：@H_404_6@#将错误信息追加空设备@H_404_6@changemd5sum=md5sum -c $md5sum_before 2>/dev/null |grep -Ei "Failed" |wc -l@H_404_6@if [ $changemd5sum -ne 0 -o "$filenum_before" -ne "$filenum_after" ];then@H_404_6@echo md5sum -c $md5sum_before 2>/dev/null |grep -Ei "Failed" > $emaillogdiff $fileinfo_after $fileinfo_before >> $emaillog#mail -s "网站目录被tampered,时间为 $time" $email < $emaillogfi

总结

以上是内存溢出为你收集整理的监控web站点目录下所有文件是否被恶意篡改全部内容，希望文章能够帮你解决监控web站点目录下所有文件是否被恶意篡改所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。