码迷,mamicode.com
首页 > Web开发 > 详细

监控web站点目录下所有文件是否被恶意篡改

时间:2019-08-28 11:01:44      阅读:114      评论:0      收藏:0      [点我收藏+]

标签:ddr   type   bin   grep   内容   code   cat   b站   fine   

监控web站点目录(/var/html/www)下所有文件是否被tampered(文件内容被改了),如果有就打印改动的文件名(发邮件),定时任务每3分钟执行一次(10分钟时间完成)
说明:
文件被tampered了,会有特征:
a.文件大小可能会发生变化;
b.文件内容会发生变化(md5sum指纹);
c.文件目录中的文件被删除,或者文件目录中有其他文件增加;
注意:
需要文件信息记录库(变化前 VS 变化后,这个是衡量对比的标准)
所以会用到2个脚本,一个是获取tampered前的信息,一个是获取tampered后的信息
获取tampered前的信息的脚本如下:
-bash-4.1# vim md5sum_before.sh
#!/bin/sh
#######################################################
#ShellName:Is www tampered with
#Author:zkg
#Created Time:2019-08-28
#Blog Address:https://blog.51cto.com/1009516
#######################################################

#define variable
wwwdir=/opt/shell/www
logdir=/opt/shell/filelog
md5sum_before=$logdir/md5sum_before.log
fileinfo_before=$logdir/fileinfo_before.log
#监控tampered之前文件md5sum值
if [ ! -d $logdir ];then
mkdir -p $logdir
fi
if [ ! -f $md5sum_before ];then
touch $md5sum_before
fi
find $wwwdir -type f|xargs md5sum > $md5sum_before
#记录tampered之前www目录下面文件数量
if [ ! -f $fileinfo_before ];then
touch $fileinfo_before
fi
find $wwwdir -type f > $fileinfo_before

获取tampered后的信息的脚本如下:
-bash-4.1# vim ../tampered.sh
#!/bin/sh
#######################################################
#ShellName:Is www tampered with
#Author:zkg
#Created Time:2019-08-28
#Blog Address:https://blog.51cto.com/1009516
#######################################################

#define variable
wwwdir=/opt/shell/www
logdir=/opt/shell/filelog
md5sum_before="${logdir}/md5sum_before.log"
fileinfo_before="${logdir}/fileinfo_before.log"
fileinfo_after="${logdir}/fileinfo_after.log"
email=632223282.qq.com
time=date "+%Y-%m-%d %H:%M:%S"
if [ ! -d $logdir ];then
echo "存储文件变化目录不存在,无法进行比对"
exit 1
fi
if [ ! -f $md5sum_before -o ! -f $fileinfo_before ];then
echo "存储文件变化的文件不存在,无法进行比对"
exit 1
fi
filenum_before=cat $fileinfo_before | wc -l

#记录tampered之后www目录下面文件数量
if [ ! -f $fileinfo_after ];then
touch $fileinfo_after
fi
find $wwwdir -type f > $fileinfo_after
filenum_after=cat $fileinfo_after | wc -l

#记录tampered 信息到文件中,邮件告警
emaillog=$logdir/emaillog.log
if [ ! -f $emaillog ];then
touch $emaillog
fi
#tampered标志可以通过两个方面进行比较:
#将错误信息追加空设备
changemd5sum=md5sum -c $md5sum_before 2>/dev/null |grep -Ei "FAILED" |wc -l
if [ $changemd5sum -ne 0 -o "$filenum_before" -ne "$filenum_after" ];then
echo md5sum -c $md5sum_before 2>/dev/null |grep -Ei "FAILED" > $emaillog
diff $fileinfo_after $fileinfo_before >> $emaillog
#mail -s "网站目录被tampered ,时间为 $time" $email < $emaillog
fi

监控web站点目录下所有文件是否被恶意篡改

标签:ddr   type   bin   grep   内容   code   cat   b站   fine   

原文地址:https://blog.51cto.com/1009516/2433149
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!