/etc/crontab只允许root用户修改
/var/spool/cron/存放着每个用户的crontab任务,每个任务以创建者的名字命名
/etc/cron.d/将文件写到该目录下,格式和/etc/crontab相同
把脚本放在
/etc/cron.hourly/、/etc/cron.daily/、/etc/cron.weekly/、/etc/cron.monthly/目录中,让它每小时/天/星期/月执行一次
小技巧:
more
/etc/cron.daily/
* 查看目录下所有文件
入侵排查:
重点关注以下目录中是否存在恶意脚本;
/var/spool/cron/
*
/etc/crontab
/etc/cron.d/
*
/etc/cron.daily/
*
/etc/cron.hourly/
*
/etc/cron.monthly/
*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/
*
入侵排查
查询已安装的服务:
RPM 包安装的服务:
chkconfig --
list
查看服务自启动状态,可以看到所有的RPM包安装的服务
ps aux | grep crond 查看当前服务
系统在
3
与
5
级别下的启动项
中文环境
chkconfig --
list
| grep
"3:启用|5:启用"
英文环境
chkconfig --
list
| grep
"3:on|5:on"
源码包安装的服务:
查看服务安装位置 ,一般是在
/user/local/
service httpd start
搜索
/etc/rc.d/init.d/
查看是否存在
异常文件检查:
按照三种方式查找修改的文件:
按照名称
依据文件大小
按照时间查找
根据名称查找文件
find
/ -name a.Test
# 如果文件名记不全,可使用通配符*来补全
# 如果不区分大小写,可以将-name 替换为-iname
依据文件大小查找
find
/ -size +
1000M
# +1000M表示大于1000M的文件,-10M代表小于10M的文件
依据时间查找
# -atime 文件的访问时间
# -mtime 文件内容修改时间
# -ctime 文件状态修改时间(文件权限,所有者/组,文件大小等,当然文件内容发生改变,ctime也会随着改变)
# 要注意:系统进程/脚本访问文件,atime/mtime/ctime也会跟着修改,不一定是人为的修改才会被记录
# 查找最近一天以内修改的文件:
find
/ -mtime -
1
-ls | more
# 查找50天前修改的文件:
find ./ -mtime +
50
-ls
根据属主和属组查找
-user 根据属主查找
-group 根据属组查找
-nouser 查找没有属主的文件
-nogroup 查找没有属组的文件
#
查看属主是root的文件
find ./ -user root -type f
#
-
type
f表示查找文件,-
type
d表示查找目录
#
注意:系统中没有属主或者没有属组的文件或目录,也容易造成安全隐患,建议删除。
按照CPU使用率从高到低排序
ps
-ef --sort -pcpu
按照内存使用率从高到低排序
ps
-ef --sort -pmem
补充:
1、查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以“..”为名的文件夹具有隐藏属性。
2、得到发现WEBSHELL、远控木马的创建时间,如何找出同一时间范围内创建的文件?
可以使用find命令来查找,如find /opt -iname “*” -atime 1 -type f 找出 /opt 下一天前访问过的文件。
3、针对可疑文件可以使用 stat 进行创建修改时间。
系统日志检查:
日志默认存放位置:/var/log/
必看日志:secure、history
查看日志配置情况:more /etc/rsyslog.conf
/var/
log
/wtmp 登录进入,退出,数据交换、关机和重启纪录
/var/
log
/lastlog 文件记录用户最后登录的信息,可用 lastlog 命令来查看。
/var/
log
/secure 记录登入系统存取数据的文件,例如 pop3/ssh/telnet/ftp 等都会被记录。
/var/
log
/cron 与定时任务相关的日志信息
/var/
log
/message 系统启动后的信息和错误日志
/var/
log
/apache2/access.
log
apache access
log