关于在linux在排查木马时查看定时任务,那定时任务是什么,其实它就是定时定点的执行Linux程序或者一个脚本。那如何创建定时任务,很简单,我们通过这个命令,每一个用户都可以创建自己的定时任务,使用一个编辑器打开它,这里就可以创建一个定时任务,定时任务保存的路径一共有这么几个。看一下这里没有权限,咱们切root用户这6个文件,这是我刚才创建定时任务的账户,那它的定时任务是以用户名命名的,看一下里边内容,这也就是刚才咱们编辑的这个内容。1234512345,没问题,应该时间还没到。咱们再看一下。
那第二个是一个调度任务文件,这里边也可以创建定时任务的,那检查的时候要看这里边是不是有新的增加,那有的话就得让运维那边确认一下是不是正常业务。这里就不用说了,它也是一样的,只是他们分了一下就是每小时执行的文件夹,这是每天执行的文件夹,咱们进一个每个月的,比如这里有一个脚本,那么每个月都会执行一次,看一下扩展知识,我们任意用户都可以创建定时任务,是不是很危险。
因为正常的业务一般是由一个用户去运行的,那这个用户它是一个普通权限或者一个root权限。这时候可以做一个限制,就是黑白名单那这个其实是白名单的方式,哪些用户可以需要执行的放到这里。比如我在这里加一个 root,说明只有root可以执行定时任务。那我用现在当前用户是谁是whoami。看,他不允许我执行定时任务了,这也是一个限制的措施。一旦低权限用户,攻击之后,他就不能创建定时任务,这原理也是一样的。那如果解除的话大家要删除,不删除的话,在我的实验里它是不允许比如咱们清空这个文件,那么它不允许所有用户建立是任务了。如果从任务计划里看不到一些木马后门的执行计划的话很有可能黑客替换了croud文件植入了隐藏级的后门木马,如果碰到这样高级的黑客无法排查的话可以向网站安全服务公司SINE安全寻求技术支持。