一、問(wèn)題現(xiàn)象

線上服務(wù)器運(yùn)行過(guò)程中，進(jìn)程有莫名進(jìn)程被啟動(dòng)，懷疑是有定時(shí)任務(wù)自動(dòng)啟動(dòng)，當(dāng)你用常規(guī)方法去查看，比如使用crontab去查看定時(shí)器任務(wù)，提示no crontab for root

或者使用cat到/var/spool/cron目錄下去查看定時(shí)器文件，也是提示no crontab for root

使用vim編輯定時(shí)器文件，打眼一看看到的似乎也是空白

但是你從cron定時(shí)任務(wù)日志中確看到有任務(wù)確實(shí)在執(zhí)行，這是咋回事？首先你可能想到配置cron還有其他地方，比如/etc/cron.d/ 下、/etc/下,你檢查一通，也都沒有定時(shí)文件，咋回事呢？

 二、問(wèn)題原因

初次遇到這種問(wèn)題時(shí)，按照常規(guī)命令檢查，輸出顯然很是詭異，但cron日志有記錄定時(shí)有任務(wù)在跑，就說(shuō)明肯定是定時(shí)器存在，一定還是有問(wèn)題沒檢查出來(lái)。

還是從當(dāng)前能看到信息入手，cron的日志里，異常執(zhí)行的任務(wù)中都帶有個(gè)^M字符有點(diǎn)可疑，這個(gè)字符以前在windows上文件見到過(guò)。針對(duì)這個(gè)可疑字符，度娘了下，一下豁然開朗，原來(lái)^M在linux上可以表示為回車換行符，當(dāng)我們使用cat/more等基礎(chǔ)命令去查看帶有^M的一行字符串時(shí)，終端屏幕上會(huì)把 ^M 之后的內(nèi)容在同一行換行后輸出，這樣就覆蓋掉了^M之前的內(nèi)容，導(dǎo)致看到的前面出現(xiàn)的詭異現(xiàn)象。

三、解決方法

前面我們習(xí)慣于用cat/vim，不加任何參數(shù)，直接去看文件，內(nèi)容其實(shí)都被掩藏了，很多人可能執(zhí)行到這一步，就認(rèn)為這一定就是個(gè)空文件，殊不知你再用相同命令，多走一步，你就可以看到事情的真相。例如：

你用 cat 加上-A參數(shù)可以讀取文件的所有內(nèi)容

我們用-A讀取可疑文件，發(fā)現(xiàn)確實(shí)有一段定時(shí)任務(wù)存在

 又或者，你在使用VI查看文件時(shí)，你多走一步，進(jìn)入編輯模式，文本內(nèi)容也會(huì)顯示在你的眼前

四、經(jīng)驗(yàn)總結(jié) 

出現(xiàn)此類情況，通常服務(wù)器可能存在被黑客已經(jīng)攻破的風(fēng)險(xiǎn)，惡意隱藏了程序代碼。并且不光在crontab這種場(chǎng)景下，像執(zhí)行腳本，配置文件等核心文件都有可能被利用隱藏惡意代碼。所以防止此類情況的發(fā)生，從安全防御的角度來(lái)看，我們可以事前增加對(duì)一些關(guān)鍵文件的監(jiān)控，例如監(jiān)控文件md5值是否一致，當(dāng)出現(xiàn)md5不一致情況，及時(shí)告警處理。

到此這篇關(guān)于Linux使用cron定時(shí)任務(wù)被隱藏的解決方法的文章就介紹到這了,更多相關(guān)解決Linux cron定時(shí)任務(wù)被隱藏內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論