Geänderte Dateien sind immer einen zweiten Blick wert – und das nicht nur aus Sicherheitsgründen. Unter Linux lassen sich kürzlich modifizierte Dateien schnell mit dem find-Befehl ermitteln. Das Kommando

find /etc -type f -mtime -1

durchsucht beispielsweise den Ordner "/etc" nach Dateien, die in den letzten 24 Stunden geändert wurden. Der Wert hinter "-mtime" steht für die Anzahl der Tage: "-30" findet Dateien, die in den letzten 30 Tagen verändert wurden. Möchten Sie nach Dateien suchen, die älter als ein bestimmter Zeitraum sind, ersetzen Sie das Minuszeichen durch ein Plus, etwa "+30" für "älter als 30 Tage". Mit dem Parameter "-mmin" lassen sich Zeitspannen in Minuten angeben – zum Beispiel "-mmin -60" für alle Änderungen der letzten Stunde.

Auch bei automatisierten Systemaufgaben ist diese Methode hilfreich. Wenn Sie beispielsweise Cronjobs überwachen möchten, können Sie

find /var/spool/cron -type f -mtime -1

verwenden, um kürzlich geänderte Cron-Dateien zu finden. So lassen sich verdächtige oder unerwartete Änderungen im System gezielt aufspüren.