Linux Crontab定时任务介绍及检测思路分析

____-72024-04-15 19:36

一、Cron介绍

1、定义

crontab为Linux下的计划任务程序,对应的服务为crond。crond是一个守护进程,每分钟会定期检查是否有要执行的任务,如果有要执行的任务,则自动执行该任务。Linux系统上面原本就有非常多的计划性工作,故而,这个系统服务是默认启动的。

2、定时任务配置方式

配置定时任务的方式有两种,对应的Cron任务配置文件也有两种:

1)系统级别的任务,系统周期性所要执行的工作,比如写缓存数据到硬盘、日志清理等。对应全局配置文件:直接通过命令编辑配置文件vi /etc/crontab,任务查看cat /etc/crontab;

2)用户级别的任务,对应用户配置文件:通过crontab -e编辑任务,自动保存到/var/spool/cron/<user_name>文件,即以用户名命名的文件,通过crontab -l查看。推荐此方式,系统会检查任务的配置语法。

3、常见目录

我们经常使用的是crontab命令是cron table的简写,它是cron的配置文件,也可以叫它作业列表,我们可以在以下文件夹内找到相关配置文件。

  • /var/spool/cron/ 目录下存放的是每个用户包括root的crontab任务,每个任务以创建者的名字命名
  • /etc/crontab 全局任务配置列表,这个文件负责调度各种管理和维护任务。
  • /etc/cron.d/ 这个目录用来存放任何要执行的crontab文件或脚本。
  • 我们还可以把脚本在/etc/cron.hourly、/etc/cron.daily、/etc/cron.weekly、/etc/cron.monthly目录中,让它每小时/天/星期、月执行一次。
  • /etc/cron.allow 允许执行crontab任务的用户列表,文件存在时,只有该文件中的用户才能执行计划任务,一般不创建此文件。
  • /etc/cron.deny 不允许执行crontab任务的用户列表,文件不存在时,出现在文件中的用户将不能执行计划任务,一般用于隔离不允许执行的用户。

4、crontab的使用

1)使用语法

2)示例

|----------------------------|---------------------------------------------|
| 每1分钟执行1次myCommand | * * * * * myCommand |
| 每小时的第3和第15分钟执行 | 3,15 * * * * myCommand |
| 在上午8点到11点的第3和第15分钟执行 | 3,15 8-11 * * * myCommand |
| 每隔两天的上午8点到11点的第3和第15分钟执行 | 3,15 8-11 */2 * * myCommand |
| 每周一上午8点到11点的第3和第15分钟执行 | 3,15 8-11 * * 1 myCommand |
| 每晚的21:30重启smb | 30 21 * * * /etc/init.d/smb restart |
| 每月1、10、22日的4:45重启smb | 45 4 1,10,22 * * /etc/init.d/smb restart |
| 每周六、周日的1:10重启smb | 10 1 * * 6,0 /etc/init.d/smb restart |
| 每天18:00至23:00之间每隔30分钟重启smb | 0,30 18-23 * * * /etc/init.d/smb restart |
| 每周六晚上11:00重启smb | 0 23 * * 6 /etc/init.d/smb restart |
| 每一小时重启smb | 0 */1 * * * /etc/init.d/smb restart |
| 晚上11点到早上7点之间,每隔一小时重启smb | 0 23-7/1 * * * /etc/init.d/smb restart |

二、检测思路分析

1、攻击场景

主机计划任务常被攻击者用来作为一种植入程序的持久化方式。主机计划任务被修改,恶意进程被关闭或删除后会在机器重启后再次安装。

2、检测规则思路

  • 数据源:Linux终端日志
  • 命中逻辑:
  • or:
  • 进程命令行 包含(忽略大小写) '/etc/crontab'
  • 进程命令行 包含(忽略大小写) '/var/spool/cron'
  • 进程命令行 包含(忽略大小写) '/etc/cron.d'
  • 进程命令行 包含(忽略大小写) '/etc/cron.hourly'
  • 进程命令行 包含(忽略大小写) '/etc/cron.daily'
  • 进程命令行 包含(忽略大小写) '/etc/cron.weekly'
  • 进程命令行 包含(忽略大小写) '/etc/cron.monthly'
  • 检测时间:10s
  • 归并分组:受害者IP/设备IP
  • 统计次数:count >= 1
相关推荐
浪裡遊1 小时前
Linux常用指令
linux·运维·服务器·chrome·功能测试
西瓜本瓜@1 小时前
在Android中如何使用Protobuf上传协议
android·java·开发语言·git·学习·android-studio
言之。1 小时前
别学了,打会王者吧
java·python·mysql·容器·spark·php·html5
机智的人猿泰山1 小时前
java kafka
java·开发语言·kafka
SugarPPig2 小时前
PowerShell 查询及刷新环境变量
服务器
Algorithm15762 小时前
谈谈接口和抽象类有什么区别?
java·开发语言
细心的莽夫2 小时前
SpringCloud 微服务复习笔记
java·spring boot·笔记·后端·spring·spring cloud·微服务
段ヤシ.2 小时前
银河麒麟(内核CentOS8)安装rbenv、ruby2.6.5和rails5.2.6
linux·centos·银河麒麟·rbenv·ruby2.6.5·rails 5.2.6
264玫瑰资源库4 小时前
问道数码兽 怀旧剧情回合手游源码搭建教程(反查重优化版)
java·开发语言·前端·游戏
pwzs4 小时前
Java 中 String 转 Integer 的方法与底层原理详解
java·后端·基础
热门推荐
01KGG转MP3工具|非KGM文件|解密音频02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03我决定放弃搞 Java 了04Coze扣子平台完整体验和实践(附国内和国际版对比)05YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】06DeepSeek各版本说明与优缺点分析07yolov8,yolo11,yolo12 服务器训练到部署全流程 笔记08苍穹外卖面试总结09如何在WPS和Word/Excel中直接使用DeepSeek功能10yolov8实战第五天——yolov8+ffmpg实时视频流检测并进行实时推流——(推流,保姆教学)