基于crontab的服务器恶意程序

最新推荐文章于 2024-12-17 12:52:12 发布
最新推荐文章于 2024-12-17 12:52:12 发布
阅读量3.2k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 服务器配置 文章标签: 防火墙 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/feiniao8651/article/details/68932646
本文介绍了一次服务器遭受恶意攻击的经历,详细分析了如何定位问题源头——被篡改的crontab定时任务及anacron脚本,并分享了解决方案。

背景

最近服务器总是启动一个恶意进程,大量占用系统,防火墙被关闭,crontab也执行的定时任务也不断被篡改,通过ps -aux命令清理掉一批可疑的进程,并且将自动下载恶意脚本的目标服务器加入的防火墙的拦截,恶意进程不再启动了,但是crontab还是会被篡改。

问题分析

通过分析crontab日志/var/log/cron

Mar 31 03:07:01 iZ253gehhtyZ CROND[17971]: (root) CMD (sh /opt/release.sh)
Mar 31 03:07:01 iZ253gehhtyZ anacron[17903]: Job `cron.daily' started
Mar 31 03:07:01 iZ253gehhtyZ run-parts(/etc/cron.daily)[17973]: starting anacron
Mar 31 03:07:01 iZ253gehhtyZ crontab[18079]: (root) DELETE (root)
Mar 31 03:07:03 iZ253gehhtyZ run-parts(/etc/cron.daily)[18094]: finished anacron

发现是在执行了cron.daily后出现了异常。
crontab安装时默认有cron.hourly、cron.daily、cron.weekly和cron.monthly,对应每小时、天、周和月的自动执行任务。
查看/etc/cron.daily/目录,果然发现目录下的anacron文件被添加了恶意代码。从其他服务器上找到了一份正常的anacron文件,覆盖掉恶意的anacron文件即可。

总结

恶意程序常用的方式就是守护进程和crontab,在解决服务器被攻击时,可以多注意一下crontab是否有定时执行的恶意代码。

Linux Crontab面试题及参考答案
大模型大数据攻城狮的专栏
02-25 607
设计每月最后一天凌晨执行任务的 Crontab 表达式颇具挑战性,因为不同月份的天数不同。在 Linux 系统中,可借助lastday这个特殊关键字来实现。分钟域设为0,确保整点执行;小时域也设为0,即凌晨时刻;日期域使用lastday,表示每月最后一天;月份域用,涵盖所有月份;星期域同样为,不考虑星期因素。命令域为要执行的具体命令或脚本。。比如,若要执行的脚本是,则表达式为。系统会在每个月的最后一天凌晨 0 点,自动执行该脚本,适合执行如每月数据清理、日志归档等任务。
12、服务器变更管理模式与实践
最新发布
jupyter5notebook的博客
07-23 18
本文探讨了服务器变更管理的多种模式与实践,包括不可变服务器、容器化服务、持续同步以及凤凰服务器模式。文章详细介绍了每种模式的概念、特点、应用场景及操作实践,帮助读者根据实际需求选择合适的服务器管理策略,以提升基础设施的效率和稳定性。
crontab陷阱
弱水三千,只取一瓢饮
11-11 260
工作中常用crontab来执行一些定时任务,带来了很大的方便的同时,也遇到过一些问题,耗费了不少时间查找错误。现在写出来供大家参考一下。   系统后台定时任务比较多,需要不同的任务错开时间运行,可以参考 # m h dom mon dow  command 17-23/3 * * * * sh task1.sh  #task1在17,20,23分钟运行 18-24/3 * * * *...
Linux查看恶意Cron脚本
dong_1997_的博客
04-16 586
/var/spool/cron/* /etc/crontab /etc/cron.d/* /etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/* /etc/cron.weekly/ /etc/anacrontab /var/spool/anacron/*
3 linux 中的日志管理
Qiqiqiqiqiqi7的博客
07-25 668
服务名称:systemd-journald.service journalctl 默认日志存放路径: /run/log systemctl disable --now firewalld ##关闭火墙 [root@westoslinux ~]# systemctl status systemd-journald.service ##查看服务是否开启 ● systemd-journald.service - Journal Service Loaded: loaded (/usr/lib/..
crontab修改维护
jason_czm的博客
03-08 2213
1,crontab -l查看内容 2,crontab -e进行修改 3,crontabl -l 确认修改内容
告警和日志信息监控
kongshuo的博客
05-27 495
查看大数据平台日志信息 查看大数据平台主机日志 [hadoop@master ~]$ cd /var/log [hadoop@master log]$ ll total 1180 drwxr-xr-x. 2 root root 4096 Mar 26 11:07 anaconda drwx------. 2 root root 23 Mar 26 11:09 audi...
万恶的crontab定时任务--被攻击了--20201102更新 挖坑病毒
今朝歌莫言醉
10-19 3745
现象 服务器cpu占用极高,经常卡顿,干掉进程,不一会儿又出现了,那么有可能被注入了定时运行规则了; 处理过程 1、使用top监控资源情况,发现异常,使用kill干掉了 2、但过段时间又冒出来了,这是使用crontab -l 发现异常定时规则 3、查询定时任务日志 /var/log/cron,发现异常进程从某行代码开始 4、分析/etc/cron.d/pwnrig 脚本【这个是从日志中发现的异常文件】如下 5、跟踪启动文件/bin/crondr,发现还不能删除,被锁定了 ..
linux查看是否被入侵(二)
beck_li的博客
05-22 1073
7、 检查异常系统文件 3 8、 检查系统文件完整性 3 9、 检查RPM的完整性 3 10、 检查网络 3 10.1检查端口及ip绑定 3 10.2检查宽带 4 11、 查看/usr/bin/ 中最近变动的文件 4 12、 检查系统计划任务 4 13、 检查系统后门 4 14、 检查系统服务 4 15、 检查系统是否感rootkit 4
网络日志分析场景三:服务器陷落
李晨光原创IT博客
12-17 1041
本文主要讲述了一个网络安全事件,其中小王(网管)在办公室发现服务器无法登录,随后发现服务器可能遭受了安全攻击。
Linux 定时任务调度(crontab),太实用了
Python数据挖掘
05-18 1285
无论你学习什么开发语言,Python 也好,SQL 也罢,我们都要和其他开发语言配合使用。Linux 语言是最常用的配合语言。 crontab 命令用于设置周期性被执行的指令。该命令从标准输入设备读取指令,并将其存放于“crontab”文件中,以供之后读取和执行。喜欢记得收藏、点赞、关注。 技术沟通、数据、资料文末获取。 可以使用crontab定时处理离线任务,比如每天凌晨2点更新数据等,经常用于系统任务调度。 服务启动和关闭 一般Linux系统中都会装有crontab,如果没有安装可以使用包管理工具安装:
Linux设置定时任务命令crontab详细解释
热门推荐
徊忆羽菲
01-31 108万+
Linux设置定时任务命令crontab详细解释1、 crontab命令概念和意义2、检查是否安装了crontab命令3、crontab服务启动与关闭4、全局配置文件5、用户配置文件6、crontab文件格式7、特殊字符8、写脚本测试功能9、编写一条定时任务10、查询当前用户定时任务11、删除当前用户定时任务12、设置crond开机自动启动13、定时任务实例 1、 crontab命令概念和意义...
网站服务器被挖矿木马攻击,hosts文件、crontab定时任务被锁定解决办法
ljk15036029526的博客
06-05 881
登录服务器发现异常,hosts文件被清空锁定无法修改crontab -l内容被清空后添加了一个定时任务,无法删除和修改(删除后马上自动恢复回来)。判断可能是黑客利用redis漏洞攻击了服务器修改redis默认端口,配置redis复杂密码;判断为文件被加了隐藏权限,使用 lsattr 查看文件隐藏权限(文件被添加了 i a权限)找到运行的木马程序,删除木马程序目录。最好给服务器配置新的密钥文件。
阿里云ECS-Centos7.9集群部署Redis服务遭木马攻击
lilyliu2535的博客
12-23 3142
阿里云ECS-Centos7.9集群部署Redis服务遭木马攻击 #背景 阿里云ECS-Centos7.9集群:hadoop202,hadoop203,hadoop204 hadoop202启动redis-server服务 redis.conf配置 #bind 127.0.0.1 protected-mode no #requirepass hadoop202,hadoop203,hadoop204配置了免密 #遭木马入侵,3台机器 CPU占用高 ~/.ssh/authorized_keys遭篡改 cron
【Oracle客户端】PLSQL Developer 15 (64 bit)最新版安装使用教程(亲测)_plsql15(2)
2401_84181058的博客
05-06 1192
链接:https://pan.baidu.com/s/1vhyDHs8XE0En4g3W7LAR4g?pwd=w29c 提取码:w29c复制这段内容打开「百度网盘APP 即可获取」instantclient-basic-windows.x64-21.7.0.0.0dbru都在里面。出现以下ORCL就说明,文本内容没错,环境变量也没错。通过百度网盘分享的文件:PLSQL De…ip是192.168.220.133。
记一次线上bug:crontab 被意外清空
楠少博客
07-04 1440
同事反馈,某台服务器crontab被清空了.看了cron这一时刻被替换掉了,后续就没有任务执行了。然后紧急恢复备份,并从日志中检查遗漏项。产生的操作,弄明白了,但是原理还是没搞明白。定时备份。在卡住时,不要中断,先备份,在停止掉。
如何处理linux恶意程序
运维打怪晋级之路
02-16 1708
如何处理linux恶意程序 #####一、准备实验环境SYN洪水攻击 一台Windows Server 2003做控制端、一台linux服务器做被控制端(肉机),使用软件如下: 点击生成器输入控制端的IP生成木马文件txma,10771是控制监控程序,如果有被控制端上线立马可以在控制台发现,将txma上传到linux服务器,设置可执行权限并运行此木马,结果如下: 被控制端:将txma上传到...
linux anacron 定时任务 计划任务
whatday的专栏
04-30 1122
anacron与cron的不同点 在网上可以可以看到很多文章都把anacron与cron来做比较,但实际上这两者之间的差距还是蛮大的。 cron任务同通过常驻的守护进程crond来定期执行的。 而anacron则不是守护进程,它需要被别人定期掉起,比如跟cron或systemd timer配合 crond每分钟检查一次是否有需要执行的任务,若这次任务错过了时间则需要等下次触发点才能再次执行。...
秒级定时处理:基于Swoole的Crontab程序开发
资源摘要信息:"swoole-crontab-master是一个基于swoole扩展的定时器程序,主要用于开发中实现定时任务的调度与执行,特别适用于需要进行秒级处理的场景。Swoole作为一个高性能的PHP异步网络通信框架,提供了强大的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值