首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
技术百科首页 >挖矿木马 >如何通过crontab排查挖矿木马定时任务?

如何通过crontab排查挖矿木马定时任务?

词条归属:挖矿木马

以下是通过crontab排查挖矿木马定时任务的方法:

一、查看crontab任务列表

普通用户crontab查看(Linux系统)​

  • 对于每个用户,都有自己的crontab任务列表。使用命令crontab -l可以查看当前用户的crontab任务。如果存在可疑的任务,例如频繁指向一些未知脚本或者可执行文件的定时任务,就有可能是挖矿木马的定时任务。例如,如果看到类似*/5 * * * * /home/user/malicious_script.sh(每5分钟执行一次名为malicious_script.sh的脚本)这样的任务,而这个脚本来源不明或者名称可疑,就需要进一步调查。

系统级crontab查看(Linux系统)​

  • 在Linux系统中,系统级的crontab文件通常位于/etc/crontab以及/etc/cron.d/目录下。查看/etc/crontab文件内容,它包含了系统级别的定时任务设置。可以使用命令cat /etc/crontab查看文件内容。对于/etc/cron.d/目录下的文件,可以使用ls /etc/cron.d/列出文件,然后逐个查看文件内容,如cat /etc/cron.d/some_cron_file。如果发现其中有指向可疑脚本或可执行文件的定时任务,可能是挖矿木马相关的任务。

Unix系统(如Solaris等)的crontab查看

  • 在Solaris系统中,查看用户crontab任务可以使用crontab -l命令(与Linux类似)。对于系统级的定时任务,可能需要查看/var/spool/cron/crontabs/目录下的相关文件,根据不同用户查看对应的文件内容。同样,对于可疑的定时任务设置要保持警惕。

二、分析crontab任务内容

检查任务执行的脚本或可执行文件

  • 当查看crontab任务时,重点关注任务执行的脚本或可执行文件的路径和名称。如果是一些不常见的、没有明确用途或者来源不明的文件,很可能是挖矿木马相关的。例如,一个名为xmr_miner.sh(xmr是门罗币的缩写)的脚本在crontab中被定时执行,这是一个非常明显的挖矿木马可疑迹象。
  • 对于看似正常的脚本,如backup.sh,也要检查其内容。可以使用文本编辑器(如vi或nano)打开脚本文件,查看其中是否存在调用挖矿程序或者可疑网络连接的代码。例如,脚本中可能存在类似curl http://malicious_mining_pool.com/start_mining(连接到恶意矿池启动挖矿)或者./mining_binary(执行名为mining_binary的挖矿二进制文件)这样的代码。

查看任务的执行时间和频率

  • 挖矿木马为了获取更多的收益,通常会设置较为频繁的定时任务。如果发现某个任务每几分钟甚至几秒钟就执行一次,而这个任务又不是系统正常运行所必需的高频任务,就需要怀疑它是否与挖矿木马有关。例如,一个正常的数据备份任务可能每天执行一次或者每周执行几次,但如果在crontab中发现一个名为data_sync.sh的任务每2分钟就执行一次,且经过分析这个任务并没有合理的数据同步需求,那么它可能是挖矿木马的伪装任务。

三、检查crontab任务的来源

检查文件权限和所有者

  • 查看crontab任务相关脚本或可执行文件的权限和所有者。如果一个脚本的所有者是未知用户或者是被篡改后的用户,且权限设置不合理(如可执行权限被赋予了不应该有的用户),这可能是挖矿木马入侵后设置的。例如,一个脚本原本应该只有root用户可执行,但发现其他普通用户也有执行权限,同时这个脚本在crontab中被定时执行,就需要深入调查。

查看文件的创建和修改时间

  • 使用ls -l命令查看文件的详细信息,其中包括文件的创建和修改时间。如果发现某个与crontab任务相关的文件是在近期突然被创建或者修改的,尤其是当系统近期没有进行正常的软件更新或相关配置更改时,这可能是挖矿木马植入的迹象。例如,一个名为mining_task.sh的脚本在一天前被创建,并且在crontab中被设置为定时执行,而系统之前并没有与挖矿相关的业务需求,那么这个脚本很可能是挖矿木马相关的。
相关文章
Linux--通过Crontab实现定时任务
crontab命令是cron table的简写,这其实是cron的配置文件,下边是一些重要的目录
源心锁
2022-08-01
2240
服务器中了木马后门如何排查定时任务计划
关于在linux在排查木马时查看定时任务,那定时任务是什么,其实它就是定时定点的执行Linux程序或者一个脚本。那如何创建定时任务,很简单,我们通过这个命令,每一个用户都可以创建自己的定时任务,使用一个编辑器打开它,这里就可以创建一个定时任务,定时任务保存的路径一共有这么几个。看一下这里没有权限,咱们切root用户这6个文件,这是我刚才创建定时任务的账户,那它的定时任务是以用户名命命名的,看一下里边内容,这也就是刚才咱们编辑的这个内容。1234512345,没问题,应该时间还没到。咱们再看一下。
技术分享达人
2022-09-08
8400
linux crontab详解(linux如何设置定时任务)
  自己租用了一台阿里云的服务器,然后是按流量收费的,结果发现这天每个小时都有接近600m的公网流量流出,而且每个时段都一致,如果再这样下去,一年得花5k来养活这台机器。。。经过各种排查,发现主要是某个ip流出的流量过多,从阿里云管理控制台禁用该ip后,流量立马下来。 开始怀疑是我服务器被攻击,最后发现其实是我博客链接推动到百度的定时任务写错了,我想的是每天推送一次的,结果每分推送一次。。(话说我一分钟推送一次所有博文链接,百度到现在一篇都不给我收录)。 所以在这里我想介绍下linux定时任务的设置,主要是crontab命令。
xindoo
2021-01-22
9.4K2
挖矿木马自助清理手册
挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响服务器上的其他应用的正常运行。黑客为了得到更多的算力资源,一般都会对全网进行无差别扫描,同时利用SSH爆破和漏洞利用等手段攻击主机。部分挖矿木马还具备蠕虫化的特点,在主机被成功入侵之后,挖矿木马还会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。整体的攻击流程大致如下图所示:
purnus
2021-06-12
54.7K24
挖矿木马自助清理手册
挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响服务器上的其他应用的正常运行。黑客为了得到更多的算力资源,一般都会对全网进行无差别扫描,同时利用SSH爆破和漏洞利用等手段攻击主机。部分挖矿木马还具备蠕虫化的特点,在主机被成功入侵之后,挖矿木马还会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。整体的攻击流程大致如下图所示:
云计算小黑
2022-12-28
1.2K0
点击加载更多
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
领券