监控Linux文件变化，防止系统被黑(3)

还有一个方法就是对特定目录(比如Web目录)开始时候对其计算md5 哈希，以后定时计算md5然后比对，发现md5 哈希不一致了，说明文件已经被篡改了。对此，虫虫之前基于这个原理用Perl写了一个脚本MD5Check(github：/bollwarm/MD5Check)，可以直接用来使用或者做参考。

MD5Check安装很简单，有Perl的环境下(依赖Digest::MD5)直接下直接clone文件就可以使用，或者使用cpanm安装

cpanm MD5Check 

使用：

使用方法，执行 perl bin/init.pl web目录(自定义)，初始化MD5值。

然后使用perl bin/check.pl前一部保存的md5哈希的文件检查。

详细实例，见bin目录下的 init.pl 和 check.pl

cpanm安装后，可以直接用perl单行程序检查使用

初始化：

perl -MMD5Check -e 'init("/web")' >file 

检查：

perl -MMD5Check -e 'print md5check(file)' 

实例：我们举一个wordexpree网站为例子：

perl init.pl /web >webmd5.20161027 

检查：

perl check.pl webmd5.20161027   

总结

本文我们讲述了通过监控linux文件变化方式防止系统被黑。讲述了常见的几种监控linux系统下文件监控的方法：find、rpm，Inodify以及自编写脚本的方法。当然这些方法需要配合监控系统(比如zabbix)才能实现及时全面的系统，可以将其做为系统安全监控部分(其他部分包括进程监控、防火墙变化监控、流量变化)来配置和告警。关于这些部分，以后有机会再给大家介绍。

（编辑：ASP站长网）