Linux的三个文件时间(atime、ctime、mtime)--隐藏webshell植入
linux的三个文件时间
概念:文件时间是文件的访问时间、修改时间、和改变时间。atime在Linux的文件系统中被称为访问时间,当文件的内容被访问时,就会更新这个时间,mtime指的是当“内容数据”被修改时,Linux系统会去更新这个时间,ctime是Linux系统中的状态时间,当文件内容、权限变更被改变是就会更改这个时间。
在Linux下,我们可以用stat+文件名查看文件的相关参数,具体参数解释如下图:
##atime
atime是Access Time的简写,它在Linux的文件系统中被称为访问时间,当文件的内容被访问时,就会更新这个时间,例如我们使用cat、more、less等命令查看文件的内容时,文件的访问时间就会被更新,如下图:## mtime
mtime是Modification Time的简写,它指的是当“内容数据”被修改时,Linux系统会去更新这个时间,例如:我们用echo,vim等指令向文件写数据。## ctime
ctime是Linux系统中的status time,即状态时间,当文件的状态即文件的属性被改变是就会更改这个时间,例如文件系统中的links(链接数),size(文件的大小)、文件的权限、blocks(文件的block数);当这些参数被改变时,Linux就会更改该文件所对应的这个时间参数。现在你可能会明白刚才修改文件的mtime时为什么文件的ctime也会跟着被改变了吧,因为当文件的内容被修改,文件的大小即size是一定会发生改变的,所以文件的状态时间会随着文件的内容被修改从而被更新。所以说文件的mtime被修改,该文件的ctime也会被改变。
总结
三个文件时间记录了Linux文件系统下的文件被访问,修改,以及改变的时间,当Linux下的文件或者程序出现问题,我们可以通过查询这些时间来判断我们什么时候做了什么操作从而对这些文件产生了影响。同理,我们在攻击的时候也可以更改时间线来隐藏我们植入webshell命令的行为。
linux下事件排查工具
文章转载 https://www.linuxprobe.com/linux-file-time.html