Linux Crontab定时任务介绍及检测思路分析

____-72024-04-15 19:36

一、Cron介绍

1、定义

crontab为Linux下的计划任务程序,对应的服务为crond。crond是一个守护进程,每分钟会定期检查是否有要执行的任务,如果有要执行的任务,则自动执行该任务。Linux系统上面原本就有非常多的计划性工作,故而,这个系统服务是默认启动的。

2、定时任务配置方式

配置定时任务的方式有两种,对应的Cron任务配置文件也有两种:

1)系统级别的任务,系统周期性所要执行的工作,比如写缓存数据到硬盘、日志清理等。对应全局配置文件:直接通过命令编辑配置文件vi /etc/crontab,任务查看cat /etc/crontab;

2)用户级别的任务,对应用户配置文件:通过crontab -e编辑任务,自动保存到/var/spool/cron/<user_name>文件,即以用户名命名的文件,通过crontab -l查看。推荐此方式,系统会检查任务的配置语法。

3、常见目录

我们经常使用的是crontab命令是cron table的简写,它是cron的配置文件,也可以叫它作业列表,我们可以在以下文件夹内找到相关配置文件。

  • /var/spool/cron/ 目录下存放的是每个用户包括root的crontab任务,每个任务以创建者的名字命名
  • /etc/crontab 全局任务配置列表,这个文件负责调度各种管理和维护任务。
  • /etc/cron.d/ 这个目录用来存放任何要执行的crontab文件或脚本。
  • 我们还可以把脚本在/etc/cron.hourly、/etc/cron.daily、/etc/cron.weekly、/etc/cron.monthly目录中,让它每小时/天/星期、月执行一次。
  • /etc/cron.allow 允许执行crontab任务的用户列表,文件存在时,只有该文件中的用户才能执行计划任务,一般不创建此文件。
  • /etc/cron.deny 不允许执行crontab任务的用户列表,文件不存在时,出现在文件中的用户将不能执行计划任务,一般用于隔离不允许执行的用户。

4、crontab的使用

1)使用语法

2)示例

|----------------------------|---------------------------------------------|
| 每1分钟执行1次myCommand | * * * * * myCommand |
| 每小时的第3和第15分钟执行 | 3,15 * * * * myCommand |
| 在上午8点到11点的第3和第15分钟执行 | 3,15 8-11 * * * myCommand |
| 每隔两天的上午8点到11点的第3和第15分钟执行 | 3,15 8-11 */2 * * myCommand |
| 每周一上午8点到11点的第3和第15分钟执行 | 3,15 8-11 * * 1 myCommand |
| 每晚的21:30重启smb | 30 21 * * * /etc/init.d/smb restart |
| 每月1、10、22日的4:45重启smb | 45 4 1,10,22 * * /etc/init.d/smb restart |
| 每周六、周日的1:10重启smb | 10 1 * * 6,0 /etc/init.d/smb restart |
| 每天18:00至23:00之间每隔30分钟重启smb | 0,30 18-23 * * * /etc/init.d/smb restart |
| 每周六晚上11:00重启smb | 0 23 * * 6 /etc/init.d/smb restart |
| 每一小时重启smb | 0 */1 * * * /etc/init.d/smb restart |
| 晚上11点到早上7点之间,每隔一小时重启smb | 0 23-7/1 * * * /etc/init.d/smb restart |

二、检测思路分析

1、攻击场景

主机计划任务常被攻击者用来作为一种植入程序的持久化方式。主机计划任务被修改,恶意进程被关闭或删除后会在机器重启后再次安装。

2、检测规则思路

  • 数据源:Linux终端日志
  • 命中逻辑:
  • or:
  • 进程命令行 包含(忽略大小写) '/etc/crontab'
  • 进程命令行 包含(忽略大小写) '/var/spool/cron'
  • 进程命令行 包含(忽略大小写) '/etc/cron.d'
  • 进程命令行 包含(忽略大小写) '/etc/cron.hourly'
  • 进程命令行 包含(忽略大小写) '/etc/cron.daily'
  • 进程命令行 包含(忽略大小写) '/etc/cron.weekly'
  • 进程命令行 包含(忽略大小写) '/etc/cron.monthly'
  • 检测时间:10s
  • 归并分组:受害者IP/设备IP
  • 统计次数:count >= 1
相关推荐
powerfulzyh10 分钟前
Ubuntu24.04远程开机
linux·ubuntu·远程工作
ulimpid10 分钟前
Command | Ubuntu 个别实用命令记录(新建用户、查看网速等)
linux·ubuntu·command
HHoao11 分钟前
Ubuntu启动后第一次需要很久才能启动GTK应用问题
linux·运维·ubuntu
小灰兔的小白兔13 分钟前
【Ubuntu】Ubuntu常用命令
linux·运维·ubuntu
GFCGUO15 分钟前
ubuntu18.04运行OpenPCDet出现的问题
linux·python·学习·ubuntu·conda·pip
winds~16 分钟前
ubuntu中软件的进程管理-结束软件运行
linux·运维·ubuntu
快乐就好ya41 分钟前
Java多线程
java·开发语言
阳光不锈@43 分钟前
麒麟桌面系统安装和配置Node.js
linux·麒麟系统安装node.js
IT学长编程1 小时前
计算机毕业设计 二手图书交易系统的设计与实现 Java实战项目 附源码+文档+视频讲解
java·spring boot·毕业设计·课程设计·毕业论文·计算机毕业设计选题·二手图书交易系统
CS_GaoMing1 小时前
Centos7 JDK 多版本管理与 Maven 构建问题和注意!
java·开发语言·maven·centos7·java多版本
热门推荐
01组基轨迹建模 GBTM的介绍与实现(Stata 或 R)02【经验分享】Ubuntu22.04安装微信(linux官方版)032024年高教社杯数学建模国赛C题超详细解题思路分析04分享几个惊艳的 Three.js 个人站点05安卓系列机型永久去除data分区加密 详细步骤解析06【2024数模国赛赛题思路公开】国赛B题思路丨附可运行代码丨无偿自提07springer 在线投稿编译踩坑08RAG 实践- Ollama+RagFlow 部署本地知识库09【2024高教社杯全国大学生数学建模竞赛】B题 生产过程中的决策问题——解题思路 代码 论文10CTF网络安全大赛简单的web抓包题目:HEADache