Linux 主机到主机迁移

Question

Danijel

Asked: 2012-10-06 01:43:11 +0800 CST2012-10-06 01:43:11 +0800 CST 2012-10-06 01:43:11 +0800 CST

如何使用 `list` 定位更改为 `s---ia--------` 的属性？

我的 linux CentOS 服务器最近遭到入侵（rootkit）。一些文件属性已更改，例如命令：

lsattr /bin/ls

给

s---ia------- /bin/ls

我如何使用find命令列出系统上所有属性设置为s---ia-------而不是的文件-------------？

user9517 · Answer 1 · 2012-10-06T02:05:13+08:00

Best Answer

user9517

Find 没有任何方法可以直接获取此信息，但您不需要使用它，因为 lsattr 有一个-R开关，所以

lsattr -R /path/you/care/about 2>/dev/null | grep -- 's---ia-------'

应该做你想做的。

请注意--，您的特定属性集不需要 to grep，但如果您想要搜索“----ia------”，那么您肯定需要它。

Nehal Dattani · Answer 2 · 2012-10-06T02:01:24+08:00

Nehal Dattani

因为您提到了查找，所以我建议您尝试使用以下命令

find / -type f -exec lsattr {} + | grep -v '\-\-\-\-\-\-\-\-\-\-\-\-\-'

理想情况下，我更愿意使用AIDE或tripwire