Cek File yang Dimodifikasi menggunakan Perintah Find

Cek File yang Dimodifikasi menggunakan Perintah Find. Oke sebenarnya ini hanyalah catatan pribadi saya supaya mudah jika syaa membutuhkannya lagi di kemudian hari. Ini biasanya digunakan sebagai langkah awal untuk melakukan audit pada server yang mengalami peretasan. Ya, kita akan memeriksa file yang dimodifikasi pada kurun waktu tertentu manakala kita bisa menemukan backdoor yang dipasang oleh pelaku peretasan menggunakan metode ini.

Untuk melakukannya kita bisa menggunakan perintah find. Berikut adalah perintah untuk melihat file yang dimodifikasi pada X hari terakhir.

find /path -mtime -X -ls

Contoh, disini saya ingin memeriksa file dalam direktori /opt yang dimodifikasi dalam lima hari terakhir. Maka perintahnya

Jika ingin mencari file yang dimodifikasi dalam 30 hari terakhir tinggal diganti saja 5 nya dengan 30. Untuk file yang dimodifikasi dalam 24 jam terakhir ganti dengan 0 atau 1.

Nah bagaimana jika sebaliknya? Kita ingin mencari file bukan yang dimodifikasi dalam kurun waktu tertentu, namun lebih dari waktu yang ditentukan? Maka commandnya adalah

find /path -mtime +X -ls

Contoh, saya ingin memeriksa file yang dimodifikasi lebih dari lima hari terakhir di direktori /opt. Maka commandnya adalah

find /opt -mtime +5 -ls

Jika outputnya terlalu banyak, kalian bisa gunakan perintah less, menjadi

find /opt -mtime +5 -ls | less

Nah, mtime sendiri menampilkan output dalam batasan hari. Misalnya kita ingin menampilkan outputnya berdasarkan menit, maka bisa gunakan mmin. Misalnya ingin menemukan file yang dimodifikasi di direktori /opt dalam 10 menit terakhir, maka gunakan command

find /opt -mmin -10 -ls

Selebihnya tinggal sesuaikan sendiri. Mudah bukan?

Oke mungkin sekian tutorial singkat kali ini, semoga bermanfaat. Jika ada yang ingin ditanyakan silahkan tinggalkan komentar.