о временных атрибутах файла

Небольшой отчерк "о временных атрибутах файла в *unix"

Что интересно, обычно для того чтобы спрятать шелл пользуюсь командой:

Как оказалось при выполнении этой команды меняется время модификации файла и время доступа на то время что было указано, а ctime на текущее время, поэтому для поиска свеже залитого шелла (даже если время модификации было изменено), можно использовать такую команду :

 

прикольно, но мне кажется единицы проверяют командой ind /var/www -ctime -1 -user www-data

 

Чтоб ищущему таким способом шелл админу жизнь медом не казалась, можно сделать заодно touch на все имеющиеся и доступные для изменения файлы. (;

 

Тем самым ты раскроешь факт своего присутствия. Во-вторых, есть хауту как сохранять atime, mtime, ctime более-менее адекватным путем, через копирование файла + смену времени:

_http://www.krazyworks.com/changing-time/

Неадекватный путь:

_http://www.securiteam.com/tools/5JP0H2K7FE.html

 

оба способа требуют привилегии root.
Интересно почему второй способ, по твоему неадекватный, вполне нормальная софтина.

 

ghostwizard

Тем самым я затрудню поиск шелла вышеприведенным способом. А факт присутствия - он уже раскрыт, раз ищут...

Тож не понял чем воторой способ неадекватнее первого - та софтина делает примерно то же самое, что описано по первой ссылке...

 

Скажем с установленным SELinux date прокатит, за софтину я не уверен, надо прогнать.

update:

Все пашет, SELinux не руганулся даже. Реквест на патч уже был подан не так давно:

_http://patchwork.kernel.org/patch/61709/

 

1. Искать можно либо руками, либо автоматизировать. Как раз последний пункт может многое выдать.
2. Верно.