Hashs sind eine nützliche Sache, die ich in der Vergangenheit viel zu selten angewandt habe um Dateiunterschiede zu ermitteln. Zu gerne habe ich mich bei Server hauptsächlich auf so etwas wie find beschänkt. Dabei sind Hashwerte der bessere Weg um Dateiunterschiede zuverlässig zu ermitteln.
Mein bisherigen vorgehen per find nach Modify:
#Was ist innerhalb der letzten 24 Stunden modifiziert worden
find . -mtime -1
#Was ist innerhalb der letzten 60 Minuten modifiziert worden
find . -mmin -60
Da man das Modify Datei (-m[time|min]) relativ einfach verändern kann (siehe unten) ist es manchmal sehr hilfreich sein auch nach dem Create Datum zu suchen. Create ist im Gegensatz zu Modify weniger einfach zu "fälschen" liefert allerdings bei selbst aktualisierenden System (z.B. CMS, Wordpress) nach einem Update wesentlich mehr Treffer als nötig/sinnvoll.
#Was ist innerhalb der letzten 24 Stunden erstellt worden
find . -ctime -1
#Was ist innerhalb der letzten 60 Minuten erstellt worden
find . -cmin -60
Im Normalfalls sollte bei neuen Dateien kein Abstand zwischen Create und einem Modify in die Vergangenheit bestehen (Beispiel: 2021 erstellt, 2025 angelegt). Sollte die Differenz Monate oder gar Jahre betragen ist vorallem bei komprimitierten System eine bestimmte Skepsis zumindest angebracht.
Das Modify Datum kann man einfach per z.B. touch anpassen.
touch -m -t 202510151230 dateiname.txt
##202510151230:
#2025 - Jahr
#10 - Monat
#15 - Tag
#12 - Stunde
#30 - Minute
to be continued... (m/c diff bashscript + sha256sum/sha256sum für webcontent)