Saltar al contenido principal.

Seguimiento de cambio de archivo simple



En el caso de un pirateo de un servidor, un hacker puede modificar los archivos para dejar algo de puerta trasera, shell, etc. Los archivos modificados podrían ser rastreados por la fecha de modificación, pero esta fecha se puede forjar fácilmente a través de la utilidad táctil.

En su lugar puedes comparar sumas de comprobación de archivos. Si la suma de comprobación del archivo es diferente de la existente, el archivo se ha modificado. Este método se puede utilizar para cualquier archivo: archivos de configuración, archivos de sitio, archivos ejecutables, etc.



Para calcular las sumas de comprobación de archivos, por ejemplo, en la carpeta / etc, use la combinación de los comandos find y sha256sum:

  # encuentra / etc -tipo f |  xargs sha256sum> file.txt 

El indicador -type f le dice a encontrar que busque solo archivos (para las carpetas es imposible calcular la suma de comprobación), y file.txt es el nombre del archivo donde se escribirán las sumas hash de todos los archivos encontrados.

Si es necesario calcular la suma de comprobación solo para ciertos archivos, php, por ejemplo, entonces debe especificarse el indicador -name \ *. Php (la máscara de archivo * debe escaparse con una barra invertida):


  # encuentra www -type f -name \ *. php |  xargs sha256sum> file.txt 

También puede calcular la suma de comprobación para un archivo específico:

  # sha256sum backup.tar.gz> file.txt 

Ahora compare las sumas hash con las sumas hash de los archivos:

  # sha256sum -c file.txt 

Y si la suma de comprobación de un archivo específico coincide con la del archivo.txt, entonces este archivo no se ha modificado desde la última comprobación. La integridad está indicada por la etiqueta TARGET opuesta al archivo.



Проверка суммы sha256sum

Por supuesto, esto no le ayuda a proteger el servidor, pero proporcionará asistencia adicional para encontrar rastros de presencia de hackers.

Además de sha256, puede usar cualquier otro algoritmo: md5, sha512, sha1, sha384.



¿Cómo calificas el artículo?
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 ( 1 calificación, promedio: 5.00 de 5)
Cargando ...

Añadir un comentario

Su correo electrónico no será publicado.