Trouver les derniers fichiers modifiés sur votre serveur

Vous souhaitez savoir si des fichiers sur votre serveur ont été modifiés par un hacker ? Voulez-vous voir ce qui a été changé sur un système après un comportement anormal ?  Ou encore voulez-vous vérifier si vous êtes victime d’un piratage ?

Dans cet tutoriel, je vais vous montrer comment une simple commande linux peut vous aider à surveiller activement les accès à vos fichiers et dossiers sur votre serveur.

L'astuce consiste à lister tous les fichiers modifiés d’un répertoire précis au cours de 2 derniers jours grâce à la commande find de Linux avec certains arguments.

La commande find est toujours pratique pour vérifier, par exemple, ce qui a été changé sur votre système linux avant un comportement anormal, ou encore en cas de piratage de votre site web.

Ainsi, si vous voulez afficher les fichiers modifiés dans les dernières 48 heures, allez dans le répertoire qui vous intéresse, et tapez la commande:

find /repertoire -type f -mtime -2 -print | more
Le numéro 2 étant le nombre de jour, vous le remplacez par ce que vous voulez.

Le problème avec cette commande, c’est qu’on doit vérifier répertoire par répertoire. C’est pour ça, il est préférable de  chercher dans tous le serveur avec la commande suivante :

find / -not -path '/sys*' -not -path '/dev*' -not -path '/proc*' -mmin -30

Ici, on exclut les répertoires /sys /proc et /dev puis on indique que l’on veut uniquement les fichiers modifiés dans les 30 dernières minutes.