我正在寻找一种监视服务,可以查找磁盘上的可疑写入内容。
假设我的服务器上运行着一个 PHP/Ruby/Python 网站,并且我的网站上存在漏洞。攻击者可以上传/修改 apache/nginx 用户拥有的任何文件。
是否有任何服务可以说:“嘿,index.php 已进行修改。这很奇怪,因为该文件自创建以来从未被修改过。”
或者“嘿,/img/reverse.php 上有一个新文件,.php 文件在 /img 上做什么”。
答案1
通过 ssh 设置到网络上另一台计算机的定期备份方案,用于rsync复制感兴趣的文件树。运行它并列出更改列表。将该列表保留在目标计算机上的带日期的文件名中。第一次会列出所有文件。之后扫描列表以了解发生了什么变化。然后您可以定期查看这些列表或编写人工智能程序来自动化它。