Cosa fa#
Stima e visualizza lo spazio occupato da file e directory sul filesystem. In ambito security, è essenziale per individuare anomalie come grossi dump di database, log esagerati o archivi nascosti pronti per l'esfiltrazione.
Sintassi#
du [opzioni] [percorso]
Comandi essenziali#
| Comando | Flag | Cosa fa |
|---|---|---|
du -h | -h (human-readable) | Mostra dimensioni leggibili (KB, MB, GB). |
du -s | -s (summarize) | Mostra solo il totale della cartella target. |
du -b | -b (bytes) | Mostra la dimensione esatta in byte (cruciale per Bandit). |
du -a | -a (all) | Visualizza lo spazio di ogni singolo file, non solo directory. |
du -d 1 | -d (depth) | Limita la profondità della ricerca alla cartella specificata. |
Combinazioni utili#
# Trova le 10 directory piu' pesanti partendo dalla cartella attuale
du -hs * | sort -rh | head -n 10
# Indagine disco pieno — scendi livello per livello
sudo du -sh /var/* 2>/dev/null | sort -rh | head -10
sudo du -sh /var/lib/* 2>/dev/null | sort -rh | head -10
# 2>/dev/null sopprime "permission denied" — output pulitoScenario Reale#
Durante un'attività di Threat Hunting, un analista nota un riempimento anomalo del disco. Usando du -ah /var/www | sort -rh, individua un file nascosto .backup.sql.gz di 5GB in una sottocartella del server web, segno di una possibile preparazione per un'esfiltrazione di dati (Data Exfiltration).
Dove l'ho usato#
- bandit-05 — Per scovare il file di esattamente 1033 byte tra decine di sottocartelle.
Note personali#
Ricorda: Mentre
ls -lmostra la dimensione logica del file,dumostra quanto spazio occupa effettivamente sul disco (blocchi). Per un analista Blue Team,duè più affidabile per scovare file "nascosti" o sparsi nel filesystem.
