Linux Crontab定时任务介绍及检测思路分析

一、Cron介绍

1、定义

crontab为Linux下的计划任务程序,对应的服务为crond。crond是一个守护进程,每分钟会定期检查是否有要执行的任务,如果有要执行的任务,则自动执行该任务。Linux系统上面原本就有非常多的计划性工作,故而,这个系统服务是默认启动的。

2、定时任务配置方式

配置定时任务的方式有两种,对应的Cron任务配置文件也有两种:

1)系统级别的任务,系统周期性所要执行的工作,比如写缓存数据到硬盘、日志清理等。对应全局配置文件:直接通过命令编辑配置文件vi /etc/crontab,任务查看cat /etc/crontab;

2)用户级别的任务,对应用户配置文件:通过crontab -e编辑任务,自动保存到/var/spool/cron/<user_name>文件,即以用户名命名的文件,通过crontab -l查看。推荐此方式,系统会检查任务的配置语法。

3、常见目录

我们经常使用的是crontab命令是cron table的简写,它是cron的配置文件,也可以叫它作业列表,我们可以在以下文件夹内找到相关配置文件。

  • /var/spool/cron/ 目录下存放的是每个用户包括root的crontab任务,每个任务以创建者的名字命名
  • /etc/crontab 全局任务配置列表,这个文件负责调度各种管理和维护任务。
  • /etc/cron.d/ 这个目录用来存放任何要执行的crontab文件或脚本。
  • 我们还可以把脚本在/etc/cron.hourly、/etc/cron.daily、/etc/cron.weekly、/etc/cron.monthly目录中,让它每小时/天/星期、月执行一次。
  • /etc/cron.allow 允许执行crontab任务的用户列表,文件存在时,只有该文件中的用户才能执行计划任务,一般不创建此文件。
  • /etc/cron.deny 不允许执行crontab任务的用户列表,文件不存在时,出现在文件中的用户将不能执行计划任务,一般用于隔离不允许执行的用户。

4、crontab的使用

1)使用语法

2)示例

|----------------------------|---------------------------------------------|
| 每1分钟执行1次myCommand | * * * * * myCommand |
| 每小时的第3和第15分钟执行 | 3,15 * * * * myCommand |
| 在上午8点到11点的第3和第15分钟执行 | 3,15 8-11 * * * myCommand |
| 每隔两天的上午8点到11点的第3和第15分钟执行 | 3,15 8-11 */2 * * myCommand |
| 每周一上午8点到11点的第3和第15分钟执行 | 3,15 8-11 * * 1 myCommand |
| 每晚的21:30重启smb | 30 21 * * * /etc/init.d/smb restart |
| 每月1、10、22日的4:45重启smb | 45 4 1,10,22 * * /etc/init.d/smb restart |
| 每周六、周日的1:10重启smb | 10 1 * * 6,0 /etc/init.d/smb restart |
| 每天18:00至23:00之间每隔30分钟重启smb | 0,30 18-23 * * * /etc/init.d/smb restart |
| 每周六晚上11:00重启smb | 0 23 * * 6 /etc/init.d/smb restart |
| 每一小时重启smb | 0 */1 * * * /etc/init.d/smb restart |
| 晚上11点到早上7点之间,每隔一小时重启smb | 0 23-7/1 * * * /etc/init.d/smb restart |

二、检测思路分析

1、攻击场景

主机计划任务常被攻击者用来作为一种植入程序的持久化方式。主机计划任务被修改,恶意进程被关闭或删除后会在机器重启后再次安装。

2、检测规则思路

  • 数据源:Linux终端日志
  • 命中逻辑:
  • or:
  • 进程命令行 包含(忽略大小写) '/etc/crontab'
  • 进程命令行 包含(忽略大小写) '/var/spool/cron'
  • 进程命令行 包含(忽略大小写) '/etc/cron.d'
  • 进程命令行 包含(忽略大小写) '/etc/cron.hourly'
  • 进程命令行 包含(忽略大小写) '/etc/cron.daily'
  • 进程命令行 包含(忽略大小写) '/etc/cron.weekly'
  • 进程命令行 包含(忽略大小写) '/etc/cron.monthly'
  • 检测时间:10s
  • 归并分组:受害者IP/设备IP
  • 统计次数:count >= 1
相关推荐
kk5795 分钟前
【Ubuntu】sudo apt update出现E :仓库***没有Release文件
linux·运维·ubuntu
cellurw5 分钟前
Linux下C语言实现HTTP+SQLite3电子元器件查询系统
linux·c语言·http
练习时长一年6 分钟前
搭建langchain4j+SpringBoot的Ai项目
java·spring boot·后端
文弱书生65625 分钟前
5.后台运行设置和包设计与实现
服务器·开发语言·c#
九术沫27 分钟前
装饰器模式在Spring中的案例
java·spring·装饰器模式
..过云雨29 分钟前
03.【Linux系统编程】基础开发工具1(yum软件安装、vim编辑器、编辑器gcc/g++)
linux·c语言·笔记·学习
青草地溪水旁1 小时前
Linux 高性能 I/O 事件通知机制的核心系统调用—— `epoll_ctl`
linux·c语言·c++
不会c嘎嘎1 小时前
Linux -- 基于TCP服务器实现一个简单的电商网站
linux·服务器·tcp/ip
程序leo源1 小时前
Linux_基础指令(二)
android·linux·运维·服务器·青少年编程
eybk1 小时前
用python的socket写一个局域网传输文件的程序
服务器·网络·python