我注意到我的 CentOS 5.6 5.11 VPS 在今年 9 月的 3 天内有超过 16,000 个带有时间戳的文件。我不知道为什么会这样,因为在那段时间我没有通过 SSH 登录(也没有任何其他登录,这会非常令人担忧)并且在那段时间 Webmin 中没有任何操作记录。这是我改变系统文件所做的唯一两种方法。服务器似乎运行良好,但应该没有其他人可以访问(当然,主机除外),所以我想知道发生了什么。
我在文件中捕获了带有这些日期的文件,因此:
touch -t 201409160000 start.tmp
touch -t 201409190000 stop.tmp
find / -type f -newer start.tmp \! -newer stop.tmp -exec ls -la {} \; > sep-16-18.txt
但是我如何处理这些信息?音量太疯狂了!
[root](21:05:55)[~]$ grep "Sep 16" -c sep-16-18.txt
6079
[root](21:06:30)[~]$ grep "Sep 17" -c sep-16-18.txt
2580
[root](21:06:40)[~]$ grep "Sep 18" -c sep-16-18.txt
7653
整个 9 月剩下的时间总共不到 500 个文件,所以在月中发生了一些激进的事情。
几乎所有文件都在/usr/目录中:
/usr/: 16130
/lib/: 49
/sbin/: 49
/etc/: 45
/lib64/: …