小智 5
我假设您不认为您的计算机已完全受到威胁(要检查谁在运行 sudo 命令,请参阅/var/log/auth.log)。可以在您的主文件夹中快速找到不属于您的用户的文件,以及使用该find命令(-type f用于文件和-type d目录)访问任何文件的时间。对于以下示例,我假设您从主文件夹的顶层运行(只需输入cd即可访问它),并且您不想搜索根目录中的文件。
1) 要在您的主文件夹中查找不属于您的登录用户的所有文件,请键入:
find ~ -type f ! -user $USER
1.1) 要查找不属于任何合法用户的所有文件(它们不应该存在),请键入:
find ~ -type f -nouser
2) 由于系统上的文件具有三个时间戳,分别称为mtime(文件修改时间)、ctime(inode 更改时间和权限)和atime(文件访问时间),因此可以通过查询来了解文件是如何被修改的。经常争论哪些最适合使用,但可能找出文件何时被访问或修改的最佳方法是使用find命令搜索atimeand mtime,您在几天前指定,以及其他find选项aminand mmin,与您在几分钟前指定的。
对于每一个这些命令,相同的命令开关用于:例如,-atime 1将匹配那些被访问的文件恰好1天前; 指定更多或小于,追加一个+或一个-分别。下面的例子可以澄清这一切(指定-type d目录):
find ~ -type f -atime 1
find ~ -type f -amin -23
find ~ -type f -mtime 2
find ~ -type f -mmin -45
3)结合我目前的方法,你可以从你的主文件夹输入以下命令:
find ~ -type f -atime -2 ! -user $USER
find ~ -type f -mtime -2 ! -user $USER
| 归档时间: |
|
| 查看次数: |
17472 次 |
| 最近记录: |