如何使用inotifywait监控特定文件目录，并且对特定后缀的文件进行操作，比如删除。

Question

网站总是有后门文件生成，后门文件后缀是.php。因为，网站不会再增加.php文件了，所以，想到用inotifywait递归监控整个网站目录，并且找出新创建的php文件，然后删除。这样，只要有后门文件创建，就会立即被删除了。
由于本人不是做运维的，所以，希望有大佬能帮忙一下。目前，只会把新创建的各类文件列出到一个文件内。

Answer 1

目前只能做到监控特点文件类型：

#!/bin/sh

/usr/bin/inotifywait -drq --timefmt '%d/%m/%y %H:%M' \ 
--format '%T %w %f %e' -o /alidata1/monitor.log  \ 
-e create,move,delete,modify  \
--excludei '.*/*\.html|.*/*\.css|.*/*\.js|.*/*\.txt|.*/*\.bak|.*/*\.jpg|.*/*\.png|.*/*\.gif|.*/*\.jpeg|.*/*\.htm|.*/*\.inc' \
/alidata1/web

类似这样的，可以过滤那几个后缀文件的监控。。。

Answer 2

这个很简单啊

1. inotify后台进程实时监控指定目录。
2. 收到添加文件操作，检测是否是php后缀(检测这个点，应该不仅仅通过后缀)。
3. 如果是后门就删除，不是就可以放弃，或者记录到文件等其他操作。

这里有难点吗？