inotify-tools + php脚本实现Linux服务器文件监控并邮件提醒
需求简介:
由于服务器被挂马,经常被写入涉敏感的html网页,领导时常被网监请去喝茶,呵呵你懂的。所以有两个需求,一是找出服务器的木马后门和修复代码漏洞,二是监控服务器涉及增删改查的文件。
第一个不在此次探讨行列,故只说第二个需求。
inotify简介:
Inotify 是一个 Linux特性,它监控文件系统操作,比如读取、写入和创建。Inotify 反应灵敏,用法非常简单,并且比 cron 任务的繁忙轮询高效得多。学习如何将 inotify 集成到您的应用程序中,并发现一组可用来进一步自动化系统治理的命令行工具。(来自百度百科inotify)
以下,我们开始安装inotify-tools。


yum install make gcc gcc-c++ #安装编译工具
cd /usr/local/src tar -zxvf inotify-tools-3.14.tar.gz #解压 cd inotify-tools-3.14 #进入解压目录 ./configure --prefix=/usr/local/inotify #配置 make #编译 make install #安装
echo "PATH=/usr/local/inotify/bin:$PATH" >>/etc/profile.d/inotify.sh source /etc/profile.d/inotify.sh #使设置立即生效 echo "/usr/local/inotify/lib" >/etc/ld.so.conf.d/inotify.conf ln -s /usr/local/inotify/include /usr/include/inotify
执行以下命令查看结果: sysctl -a | grep max_queued_events #结果是:fs.inotify.max_queued_events = sysctl -a | grep max_user_watches #结果是:fs.inotify.max_user_watches = sysctl -a | grep max_user_instances #结果是:fs.inotify.max_user_instances = #修改上述参数为下列值 sysctl -w fs.inotify.max_queued_events="" sysctl -w fs.inotify.max_user_watches="" sysctl -w fs.inotify.max_user_instances="" #修改方法 vi /etc/sysctl.conf #添加以下代码 fs.inotify.max_queued_events= fs.inotify.max_user_watches= fs.inotify.max_user_instances= wq! #保存退出
mkdir -p /home/inotify #创建目录 vim /home/inotify/inotif.sh #编辑并添加以下内容 #!/bin/sh
/usr/local/inotify/bin/inotifywait -mrq -e modify,create,move,delete --fromfile '/home/inotify/excludedir' --timefmt '%y-%m-%d %H:%M' --format '%T %f %e'
/data/rise/ >> /tmp/rsync.txt wq! #保存退出 vim /home/inotify/excludedir #编辑并添加以下内容 /data/rise/ #要监控的目录
@/data/rise/cache/ #要排除监控的目录 wq! #保存退出 chmod +x /home/inotify/inotif.sh #添加执行权限 vim /etc/rc.d/rc.local #编辑并在最后一行添加以下内容,开机自动启动 sh /home/inotify/inotif.sh wq! #保存退出 reboot重启生效

/usr/local/inotify/bin/inotifywait -m -r -d -o /tmp/file_change.log --timefmt '%F %T' --format '%T %w%f %e' -e close_write -e create /data/riseweb/ @/data/riseweb/data/ @/data/riseweb/riseimg/
命令解析:
/tmp/file_change.log 是日志路径,生成的日志写在这里面。
/data/riseweb/ 是监控的文件目录,后面两个@是要排除监控的目录。
四、使用PHP脚本监测并发送邮件
实现思路:
在/tmp文件夹下新建一个row_mark.txt的文件,用来保存上一次的file_change.log的最后行数,在crontab中定时执行php脚本,获取file_change.log的最后行数,与row_mark文件最后保存的行数做对比,数字一致,说明没有新增操作日志。不一致,说明有新增操作日志,读取新行数与旧行数之间的日志内容,排版发送邮件,并把新行数写入row_mark.txt文件。
实现的php脚本代码:
<?php
/**
* Created by PhpStorm.
* User: jimmyRen
* Date: 16/10/24
* Time: 下午1:56
* 主要作用:检查服务器项目目录下是否有新建文件或文件夹,如果有,发送邮件通知
* 实现思路:服务器如有新建文件,inotify会写在/tmp/file_change.log里,打开文件,获取最后一行的行数,如果大于0或大于上一次保存的行数,则追加写进行数文件中,并发送邮件通知
*/ require_once(dirname(__FILE__)."/include/common.inc.php");
date_default_timezone_set("PRC");
$url = '/tmp/';
//打开日志文件
$change_log = file_get_contents($url.'file_change.log');
//打开记录行数的文件
$row_log = file_get_contents($url.'row_mark.log');
//将文件以每行转换成数组
$change_array = explode("\n",$change_log);
$row_array = explode("\n",$row_log);
//获取数组的总长度
$change_count = count($change_array);
$row_count = count($row_array);
//获取日志文件最后一行的key[行数]
$change_row = $change_count - 2;
//获取行数文件最后一行的值
$row_value = substr($row_array[$row_count-1],0,strpos($row_array[$row_count-1],"[")); $row_date = date("Y-m-d H:i:s",time());
if($change_row > 0 && $row_log== ""){//第一次写行数日志
$file_write = file_put_contents($url.'row_mark.log',$change_row."[".$row_date."]",FILE_APPEND);
echo "首次写入记录成功";exit;
}elseif($change_row > 0 && $change_row > $row_value){
$file_write2 = file_put_contents($url.'row_mark.log',"\n".$change_row."[".$row_date."]",FILE_APPEND);
}else{
echo "当前时间".date("Y-m-d H:i:s", time())." 没有新写入的文件";
exit;
} //有新写入的行数,把日志新写入的内容循环取出来,生成文件,然后发送email
if($file_write2){
ini_set("memory_limit","512M");
$new_array = array();
for($i = $row_value;$i<$change_row;$i++){
$new_array[] = "\n\r\n".$change_array[$i];
}
//把拿到的数组转换成行数格式的字符串
$text = implode("\n\r\n",$new_array);
$file_time = date("Y-m-d_H:i");
//把内容生成文件
$file = fopen($url."checkChangeLog".$file_time.".txt","w+");
if($file){
iconv("UTF-8","GB2312//IGNORE",$text);
$write = fwrite($file,$text);
}
fclose($file); //发送邮件
function sendmail($email, $mailtitle, $mailbody)
{
global $cfg_sendmail_bysmtp, $cfg_smtp_server, $cfg_smtp_port, $cfg_smtp_usermail, $cfg_smtp_user, $cfg_smtp_password, $cfg_adminemail,$cfg_webname;
if($cfg_sendmail_bysmtp == 'Y' && !empty($cfg_smtp_server))
{
$mailtype = 'TXT';
require_once(DEDEINC.'/mail.class.php');
$smtp = new smtp($cfg_smtp_server,$cfg_smtp_port,true,$cfg_smtp_usermail,$cfg_smtp_password);
$smtp->debug = false;
if(!$smtp->smtp_sockopen($cfg_smtp_server)){
ShowMsg('邮件发送失败,请联系管理员','-1');
exit();
}
$smtp->sendmail($email,$cfg_webname,$cfg_smtp_usermail, $mailtitle, $mailbody, $mailtype);
}else{
@mail($email, $mailtitle, $mailbody, $headers);
}
} $email = "906691xxx.qq.com"; //这里填写要发送到的邮箱
$mailtitle = date("Y-m-d H:i", time())." rise文件写入情况";
$mailbody = $text;
sendmail($email, $mailtitle, $mailbody);
echo "脚本执行成功!";exit; }
tip:记得加载发送邮件的class。
五、crontab定时任务
要求是每天的0 - 7点,每5个小时执行一次,7 - 21点,每1个小时执行一次,21 - 23点,每2个小时执行一次,故crontab脚本命令如下。
#定时检查服务器文件写入情况并发送邮件通知
-/,-/,-/ * * * php /data/rise/checkfile.php
六、总结
需求肯定是实现了,由于不是专业的运维,本次只是实现了需求,大神们有更好的方法可交流探讨。
inotify-tools + php脚本实现Linux服务器文件监控并邮件提醒的更多相关文章
- nmon脚本——对Linux服务器的监控
继服务器被挖之后,我又开拓了另一个监控工具----nmon! Nmon可以很轻松的监控系统的CPU.内存.网络.硬盘.文件系统.NFS.高耗进程.资源和IBM Power系统的微分区的信息,还有专属的 ...
- Python 脚本实现对 Linux 服务器的监控
本文来自我的github pages博客http://galengao.github.io/ 即www.gaohuirong.cn 摘要: 原文地址 由于原文来自微信公众号,并且脚本都是图片,所以这里 ...
- 用 Python 脚本实现对 Linux 服务器的监控
目前 Linux 下有一些使用 Python 语言编写的 Linux 系统监控工具 比如 inotify-sync(文件系统安全监控软件).glances(资源监控工具)在实际工作中,Linux 系统 ...
- Linux 服务器系统监控脚本 Shell【转】
转自: Linux 服务器系统监控脚本 Shell - 今日头条(www.toutiao.com)http://www.toutiao.com/i6373134402163048961/ 本程序在Ce ...
- Linux入门(五)linux服务器文件远程管理
1 使用filezila远程管理linux服务器文件 filezila下载地址:https://filezilla-project.org/ filezila默认只能登录普通用户,如果想要root用 ...
- Shell脚本对Linux进行文件校验
Shell脚本对Linux进行文件校验 一.需求 有客户等保需求对文件一致性进行校验,想到利用md5sum工具,因此写脚本来对文件进行自定义扫描,后期可以利用其进行校验,快速校验文件发现变更的文件,一 ...
- Inotify: 高效、实时的Linux文件系统事件监控框架
Inotify: 高效.实时的Linux文件系统事件监控框架 概要 - 为什么需要监控文件系统? 在日常工作中,人们往往需要知道在某些文件(夹)上都有那些变化,比如: 通知配置文件的改变 ...
- Linux服务器上监控网络带宽的18个常用命令 zz
Linux服务器上监控网络带宽的18个常用命令 本文介绍了一些可以用来监控网络使用情况的Linux命令行工具.这些工具可以监控通过网络接口传输的数据,并测量目前哪些数据所传输的速度.入站流量和出站流量 ...
- Linux服务器上监控网络带宽的18个常用命令和工具
一.如何查看CentOS的网络带宽出口 检查维护系统的时候,经常会要查看服务器的网络端口是多大的,所以需要用到Linux的一个命令. 如何查看CentOS的网络带宽出口多大?可以用下面的命令来查看. ...
随机推荐
- 201521123112《Java程序设计》第2周学习总结
1.本周学习总结 本周在课堂面授课粗略讲了<Java学习笔记>中的第三章,其内容大部分都与上学期学习的数据结构差不多,所以只是粗略的复习了一下就带过,然后通过将PTA上的实验便于我们本周的 ...
- 201521123011《Java程序设计》 第12周学习总结
1. 本周学习总结 1.1 以你喜欢的方式(思维导图或其他)归纳总结多流与文件相关内容. 2. 书面作业 将Student对象(属性:int id, String name,int age,doubl ...
- Eclipse rap 富客户端开发总结(3):rcp/rap目前界面上的一些差异
1. Label和Button按钮的显示的差异 当Label 和 Button显示的文字过长显示不开的时候,rcp.rap的处理方式就不一样了,rap显示不开会自己截取掉后面的文字,rcp会在文字的中 ...
- Linux下的定时任务 - Cron服务
最近搞咕自己的笔记系统,虽然现在是个人的使用,对于数据库的数据还是比较少,但是安全还是一个我必须注意的东西. (特别是前段时间中了比特币的病毒之后,更是让我关注了我的主机的安全的问题.) 今天的随记是 ...
- linux crontab设置定期执行脚本
Linux下crontab命令的用法 任务调度的crond常驻命令crond 是linux用来定期执行程序的命令.当安装完成操作系统之后,默认便会启动此任务调度命令.crond命令每分锺会定期检查是否 ...
- POJ 3625 最小生成树 Prim C++
Building Roads Time Limit: 1000MS Memory Limit: 65536K Total Submissions: 11861 Accepted: 3376 D ...
- XML预览
功能: 实现模板文件的预览 模板实体类中有一个content字段,它的值是xml形式的,就是要预览它的内容; 实现思路: 在java后台中将这个xml内容以xml文件的形式保存到服务器上,然后将路 ...
- Struts2基于XML配置方式实现对Action方法进行校验
JavaWeb框架(2) 使用XML对Action方法进行校验方式有两种,一种是对Action的所有方法进行校验,另一种是对Action指定方法进行校验. 对Action的所有方法进行校验: 步骤: ...
- WEP无线加密破解
工具:Aircrack套件(airmon-ng.airodump-ng.aireplay-ng) 带有套件的操作系统:KaLi Linux.BackTrack.Beini(奶瓶)...等 1.开启无线 ...
- ArrayList底层实现原理
ArrayList概述: ArrayList是List接口的可变数组的实现.实现了所有可选列表操作,并允许包括null在内的所有元素.除了实现列表接口外,此类还提供一些方法来操作内部用来存储列表的数组 ...