我想帮助防止再次遭受黑客攻击。我想做的一件事是监视过去被黑客攻击的文件(实际上两次,总是修改相同的文件),这样如果再次发生这种情况,我就可以收到警报。监视文件修改的最佳方法是什么?这是在 Linux 服务器上(我尝试安装程序“audit”,但无法在此共享主机上运行它,因此无法使用它)。
我确实在寻找最简单、资源最少的解决方案。我可以通过 cron 运行的基本 unix 脚本将是理想的选择。
编辑我正在使用一个名为 Filetraq 的 unix shell 脚本来处理文件查看。它可在此处获取:http://filetraq.xidus.net/我不得不对脚本进行一些修改,因为它太旧了,并且不能很好地与 diff 配合,而且我想添加一些其他变量和文本,但它非常基础且易于使用。
答案1
您可以使用基于主机的 IDS (HIDS)。基本上,它是一种软件,可生成一个“受信任”数据库,其中包含主机上重要文件的信息和加密校验和。创建该数据库后,您可以将其设置为每天检查文件,并在任何文件发生变化时采取行动。一些 HIDS 还会检查内存是否存在问题。操作系统安全评估中心和绊线有两个可能有帮助的开源软件。