伺服器中了木馬後門如何排查定時任務計劃

關於在linux在排查木馬時檢視定時任務，那定時任務是什麼，其實它就是定時定點的執行Linux程式或者一個指令碼。那如何建立定時任務，很簡單，我們透過這個命令，每一個使用者都可以建立自己的定時任務，使用一個編輯器開啟它，這裡就可以建立一個定時任務，定時任務儲存的路徑一共有這麼幾個。看一下這裡沒有許可權，我們們切root使用者這6個檔案，這是我剛才建立定時任務的賬戶，那它的定時任務是以使用者名稱命命名的，看一下里邊內容，這也就是剛才我們們編輯的這個內容。1234512345，沒問題，應該時間還沒到。我們們再看一下。

那第二個是一個排程任務檔案，這裡邊也可以建立定時任務的，那檢查的時候要看這裡邊是不是有新的增加，那有的話就得讓運維那邊確認一下是不是正常業務。這裡就不用說了，它也是一樣的，只是他們分了一下就是每小時執行的資料夾，這是每天執行的資料夾，我們們進一個每個月的，比如這裡有一個指令碼，那麼每個月都會執行一次，看一下擴充套件知識，我們任意使用者都可以建立定時任務，是不是很危險。

因為正常的業務一般是由一個使用者去執行的，那這個使用者它是一個普通許可權或者一個root許可權。這時候可以做一個限制，就是黑白名單那這個其實是白名單的方式，哪些使用者可以需要執行的放到這裡。比如我在這裡加一個 root，說明只有root可以執行定時任務。那我用現在當前使用者是誰是whoami。看，他不允許我執行定時任務了，這也是一個限制的措施。一旦低許可權使用者，攻擊之後，他就不能建立定時任務，這原理也是一樣的。那如果解除的話大家要刪除，不刪除的話，在我的實驗裡它是不允許比如我們們清空這個檔案，那麼它不允許所有使用者建立就是任務了。如果從任務計劃裡看不到一些木馬後門的執行計劃的話很有可能駭客替換了croud檔案植入了隱藏級的後門木馬，如果碰到這樣高階的駭客無法排查的話可以向網站安全服務公司SINE安全尋求技術支援。