Linux
尋找更改文件名的流氓腳本?
我有一個用作 SFTP 端點的伺服器和一個位於其他地方的腳本,它會定期上傳到伺服器。
在每天的特定時間,上傳文件夾中的所有文件都會在其名稱前添加字元串“archive_”。
我該如何追踪罪魁禍首更改名稱的腳本?
我搜尋了 /var/cron 中的日誌,查看了 /etc/cron* 中的腳本,查看了所有具有主目錄的使用者的 crontab -e,完成了“歸檔”/home、/etc 的 grep / 和 /usr 並沒有出現任何有用的資訊。
解決了。從伺服器拉取文件的腳本正在將文本字元串添加到文件名中,以將它們標記為下次不需要拉取的文件。
謝謝大家!
通過
root訪問sysdig或類似的核心跟踪工具可以揭示哪些程序正在接觸特定文件:# sysdig fd.name contains archive_然後等待執行,儘管您可能希望對這些存檔文件的路徑進行額外限制,或者使用
-p標誌來選擇您感興趣的匹配程序的哪些屬性。