關(guān)于在linux在排查木馬時查看定時任務(wù),那定時任務(wù)是什么,其實它就是定時定點的執(zhí)行Linux程序或者一個腳本。那如何創(chuàng)建定時任務(wù),很簡單,我們通過這個命令,每一個用戶都可以創(chuàng)建自己的定時任務(wù),使用一個編輯器打開它,這里就可以創(chuàng)建一個定時任務(wù),定時任務(wù)保存的路徑一共有這么幾個。看一下這里沒有權(quán)限,咱們切root用戶這6個文件,這是我剛才創(chuàng)建定時任務(wù)的賬戶,那它的定時任務(wù)是以用戶名命名的,看一下里邊內(nèi)容,這也就是剛才咱們編輯的這個內(nèi)容。1234512345,沒問題,應(yīng)該時間還沒到。咱們再看一下。
那第二個是一個調(diào)度任務(wù)文件,這里邊也可以創(chuàng)建定時任務(wù)的,那檢查的時候要看這里邊是不是有新的增加,那有的話就得讓運維那邊確認一下是不是正常業(yè)務(wù)。這里就不用說了,它也是一樣的,只是他們分了一下就是每小時執(zhí)行的文件夾,這是每天執(zhí)行的文件夾,咱們進一個每個月的,比如這里有一個腳本,那么每個月都會執(zhí)行一次,看一下擴展知識,我們?nèi)我庥脩舳伎梢詣?chuàng)建定時任務(wù),是不是很危險。
因為正常的業(yè)務(wù)一般是由一個用戶去運行的,那這個用戶它是一個普通權(quán)限或者一個root權(quán)限。這時候可以做一個限制,就是黑白名單那這個其實是白名單的方式,哪些用戶可以需要執(zhí)行的放到這里。比如我在這里加一個 root,說明只有root可以執(zhí)行定時任務(wù)。那我用現(xiàn)在當(dāng)前用戶是誰是whoami。看,他不允許我執(zhí)行定時任務(wù)了,這也是一個限制的措施。一旦低權(quán)限用戶,攻擊之后,他就不能創(chuàng)建定時任務(wù),這原理也是一樣的。那如果解除的話大家要刪除,不刪除的話,在我的實驗里它是不允許比如咱們清空這個文件,那么它不允許所有用戶建立是任務(wù)了。如果從任務(wù)計劃里看不到一些木馬后門的執(zhí)行計劃的話很有可能黑客替換了croud文件植入了隱藏級的后門木馬,如果碰到這樣高級的黑客無法排查的話可以向網(wǎng)站安全服務(wù)公司SINE安全尋求技術(shù)支持。
