Как узнать, когда был последний доступ к файлам системы? Взломан или нет? В общем, как узнать, какие файлы были взломаны?
В файле struct stat для файла есть поле «Время последнего доступа». Однако компетентный хакер знает об этом и может использовать современную функцию utimensat() или устаревшую и устаревшую функцию utime(), чтобы установить для последнего времени доступа любое желаемое значение. Трудно сделать это тщательно, но хакеры склонны к постоянным типам.
struct stat
utimensat()
utime()