我有一个用作 SFTP 端点的服务器和一个位于其他地方的脚本,该脚本定期上传到该服务器。
每天的特定时间,上传文件夹中的所有文件都会在其名称前添加字符串“archive_”。
我该如何追踪改名脚本的罪魁祸首?
我搜索了 /var/cron 中的日志,查看了 /etc/cron* 中的脚本,查看了所有具有主目录的用户的 crontab -e,完成了 'archive' /home, /etc 的 grep / 和 /usr 并没有出现任何有用的结果。
答案1
解决了。从服务器提取文件的脚本将文本字符串添加到文件名中,以将它们标记为下次不需要提取的文件。
感谢大家!
答案2
通过root
访问sysdig
或类似的内核跟踪工具可以揭示哪些程序正在访问特定文件:
# sysdig fd.name contains archive_
然后等待运行,尽管您可能需要对这些存档文件的路径进行额外限制,或者使用该-p
标志来选择您感兴趣的匹配进程的哪些属性。