在linux系统中排查木马时,查看定时任务是一个关键步骤。定时任务实际上是定时定点执行linux程序或脚本的机制。要创建定时任务非常简单,我们可以使用命令,每个用户都可以创建自己的定时任务,通过编辑器打开并创建。定时任务保存的路径有几个,我们来看一下这里没有权限,我们切换到root用户,这6个文件就是我刚才创建定时任务的账户,定时任务是以用户名命名的,查看里面的内容,也就是我们刚才编辑的内容。1234512345,没问题,应该时间还没到。我们再看一下。
第二个是调度任务文件,这里也可以创建定时任务,检查时需要查看这里是否有新的增加,如果有的话,需要运维那边确认是否是正常业务。这里就不用多说了,它也是一样的,只是他们分成了每小时执行的文件夹和每天执行的文件夹。我们进入一个每月的文件夹,比如这里有一个脚本,那么每个月都会执行一次。来看一下扩展知识,任意用户都可以创建定时任务,是不是很危险。
因为正常的业务一般是由一个用户去运行的,这个用户可能是一个普通权限或者root权限。这时候可以做一个限制,就是黑白名单,这其实是白名单的方式,哪些用户需要执行的放到这里。比如我在这里加一个root,说明只有root可以执行定时任务。我用当前用户是谁,whoami来看,他不允许我执行定时任务了,这也是一个限制的措施。一旦低权限用户被攻击之后,他就不能创建定时任务,原理也是一样的。如果要解除这个限制,大家需要删除,不删除的话,在我的实验里它是不允许比如我们清空这个文件,那么它不允许所有用户建立定时任务了。如果从任务计划里看不到一些木马后门的执行计划的话,很有可能黑客替换了cron文件植入了隐藏级的后门木马,如果碰到这样高级的黑客无法排查的话,可以向网站安全服务公司SINE安全寻求技术支持。
以上就是服务器中了木马后门如何排查定时任务计划的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告
收藏
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
402
