Иногда сайт взламывают, и злоумышленник скрывает новые или измененные файлы, изменяя дату файла (mtime). Как правило, они устанавливают его на не последнюю дату.
Используя что-то вроде
find . -type f -ctime -3 -exec ls -ls {} \;
Я могу найти файлы, которые были изменены или добавлены за последние 3 дня, даже если mtime был изменен с помощью touch или других приемов.
Проблема в том, что часто это приводит к длинному списку файлов, которые были изменены в результате обычной деятельности.
Моя идея такова: если я могу найти файлы, которые имеют "странное" ctime-mtime, мониторинг будет проще. По моему мнению, если я могу найти файлы с mtime> ctime или с очень разными mtime и ctime, это значительно упрощается.
Есть ли способ сделать это с find?