*nix sistemlerde belli bir zaman aralığında değiştirilmiş (modify edilmiş) dosyaları bulmak için find komutunun mmin ve mtime gibi parametrelerinden yararlanılabilir. Özellikle sızıldığından şüphe ettiğiniz bir sistemi incelerken, hangi dosyaların değiştirilmiş olduğunu saptamak olayların nasıl geliştiğini anlamak için önemli bir nokta olacaktır.

Aşağıda, find mtime ve mmin ile değiştirilmiş dosyaların saptanmasına ait bir kaç örnek bulabilirsiniz.

Son 90 dakika içerisinde değiştirilmiş dosyaların tespiti

Bu iş için mmin -90 paramteresi kullanılabilir.

find / -type f -mmin -90 | xargs ls -l

Yukarıdaki örnekte geçen “-90” ibaresi “son doksan dakika içerisinde” manasına gelmektedir. Son “90 dakikadan daha önce” değiştirilmiş dosyaları saptamak için ise aşağıdaki şekilde + ibaresi kullanılabilir.

Son 90 dakikadan “daha önce” değiştirilmiş dosyaların tespiti

find / -type f -mmin +90 | xargs ls -l

mmin, yerine gün bazında arama yapmak için mtime paramteresi de kullanılabilir. Örneğin son 1 gün (24 saat) içerisinde değiştirilmiş tüm dosyaları aşağıdaki şekilde saptayabiliriz.

Son 1 gün içerisinde değiştirilmiş dosyaların tespiti

# find / -type f -mtime -1 | xargs ls -l

Son 3 ay içerisinde değiştirilmiş dosyaların tespiti
Son 3 ayda değiştirilmiş dosyaların tespiti için ise mtime paramteresini -90 (90×24 saat) olarak kullanabiliriz.

# find /usr/local/ -type f -mtime -90 | xargs ls -l

Örnekleri çoğaltmak mümkün, daha fazla bilgi için find komutunun man sayfasından yararlanabilirsiniz.

http://unixhelp.ed.ac.uk/CGI/man-cgi?find
http://linux.die.net/man/1/find