服务器被入侵攻击如何排查计划任务后门原创

关于在Linux在排查木马时查看定时任务，那定时任务是什么？其实它就是定时定点的执行Linux程序或者一个脚本。那如何创建定时任务很简单，我们通过这个命令，每一个用户都可以创建自己的定时任务，使用一个编辑器打开它，这里就可以创建一个定时任务，定时任务保存的路径一共有这么几个，看一下这里没有权限，咱们接root用户这六个文件，这是我刚才创建定时任务的账户，那它的定时任务是以用户名命命名的，看一下里边内容，这也就是刚才咱们编辑的这个内容，1234512345没问题，应该时间还没到，咱们再看一下，那第二个是一个调度任务文件，这里边也可以创建定时任务的，那检查的时候要看这里边是不是有新的增加，那有的话就得让运维那边确认一下是不是正常业务，这里就不用说了，它也是一样的，只是他们分了一下，就是每小时执行的文件夹，这是每天执行的文件夹，咱们进一。

个每个月的，比如这里有一个脚本，那么每个月都会执行一次，看一下扩展知识，我们任意用户都可以创建定时任务，是不是很危险，因为正常的业务一般是由一个用户去运行的，那这个用户他是一个普通权限或者一个root权限，这时候可以做一个限制，就是黑白名单，那这个其实是白名单的方式，哪些用户可以需要执行的放到这里，比如我在这里加一个root，说明只有root可以执行定时任务，那我用现在当前用户是谁，是豁米看它不允许我执行定时任务了，这也是一个限制的措施，一旦低权限用户攻击之后，他就不能创建定时任务，这原理也是一样的，那如果解除的话，大家要删除，不删除的话，在我的实验里它是不允许，比如咱们清空这个文件，那么它不允许所有用户建立，就是任务了。如果从任务计划里看不到一些木马后门的执行计划的话，很有可能黑客替换了C文件，植入了隐藏级的后门木马。

如果碰到这样高级的黑客无法排查的话，可以向网站安全服务公司安全寻求技术支持。