*nix sistemlerde belli bir zaman aralığında değiştirilmiş (modify edilmiş) dosyaları bulmak için find komutunun mmin ve mtime gibi parametrelerinden yararlanılabilir. Özellikle sızıldığından şüphe ettiğiniz bir sistemi incelerken, hangi dosyaların değiştirilmiş olduğunu saptamak olayların nasıl geliştiğini anlamak için önemli bir nokta olacaktır.
Aşağıda, find mtime ve mmin ile değiştirilmiş dosyaların saptanmasına ait bir kaç örnek bulabilirsiniz.
Son 90 dakika içerisinde değiştirilmiş dosyaların tespiti
Bu iş için mmin -90 paramteresi kullanılabilir.
Alıntı:
find / -type f -mmin -90 | xargs ls -l
Yukarıdaki örnekte geçen “-90″ ibaresi “son doksan dakika içerisinde” manasına gelmektedir. Son “90 dakikadan daha önce” değiştirilmiş dosyaları saptamak için ise aşağıdaki şekilde + ibaresi kullanılabilir.
Son 90 dakikadan “daha önce” değiştirilmiş dosyaların tespiti
Alıntı:
find / -type f -mmin +90 | xargs ls -l
mmin, yerine gün bazında arama yapmak için mtime paramteresi de kullanılabilir. Örneğin son 1 gün (24 saat) içerisinde değiştirilmiş tüm dosyaları aşağıdaki şekilde saptayabiliriz.
Son 1 gün içerisinde değiştirilmiş dosyaların tespiti
Alıntı:
# find / -type f -mtime -1 | xargs ls -l
Son 3 ay içerisinde değiştirilmiş dosyaların tespiti
Son 3 ayda değiştirilmiş dosyaların tespiti için ise mtime paramteresini -90 (90×24 saat) olarak kullanabiliriz.
Alıntı:
# find /usr/local/ -type f -mtime -90 | xargs ls -l
Kaynak: Linux - Find mtime ve mmin ile değiştirilmiş dosyaların saptanması | Syslogs
Aşağıda, find mtime ve mmin ile değiştirilmiş dosyaların saptanmasına ait bir kaç örnek bulabilirsiniz.
Son 90 dakika içerisinde değiştirilmiş dosyaların tespiti
Bu iş için mmin -90 paramteresi kullanılabilir.
Alıntı:
find / -type f -mmin -90 | xargs ls -l
Yukarıdaki örnekte geçen “-90″ ibaresi “son doksan dakika içerisinde” manasına gelmektedir. Son “90 dakikadan daha önce” değiştirilmiş dosyaları saptamak için ise aşağıdaki şekilde + ibaresi kullanılabilir.
Son 90 dakikadan “daha önce” değiştirilmiş dosyaların tespiti
Alıntı:
find / -type f -mmin +90 | xargs ls -l
mmin, yerine gün bazında arama yapmak için mtime paramteresi de kullanılabilir. Örneğin son 1 gün (24 saat) içerisinde değiştirilmiş tüm dosyaları aşağıdaki şekilde saptayabiliriz.
Son 1 gün içerisinde değiştirilmiş dosyaların tespiti
Alıntı:
# find / -type f -mtime -1 | xargs ls -l
Son 3 ay içerisinde değiştirilmiş dosyaların tespiti
Son 3 ayda değiştirilmiş dosyaların tespiti için ise mtime paramteresini -90 (90×24 saat) olarak kullanabiliriz.
Alıntı:
# find /usr/local/ -type f -mtime -90 | xargs ls -l
Kaynak: Linux - Find mtime ve mmin ile değiştirilmiş dosyaların saptanması | Syslogs