Linux下巧用chattr、watch命令的实例

一、起因

前些日子,张戈在日志备份服务器加入了日志压缩的计划任务(详见服务器日志备份超节省空间的思路),结果发现监控总是发来tar的报警,提示存在tar进程。仔细检查history后发现是公司总部那边做的监控:

Linux下巧用chattr、watch命令的实例

 

每20分钟执行一个监控脚本,然后删除。

分析下这样做的好处:①、不留痕迹;②、把history塞满,让其他操作无迹可寻(感觉有点蛋疼)。

二、擒获

每次执行后立马删除了,得想个办法把这脚本“擒获”!

于是我写了一个简单的脚本catch.sh:

ps:如果发现hdd.sh就把它复制一份到tmp目录,如果tmp目录发现存在hdd.sh则打印 Catch it,结束脚本。

然后使用watch来执行它:

ps:每隔0.1秒执行上面的脚本,应该可以在删除之前获取脚本。

等了一段时间,看了下终端:

Linux下巧用chattr、watch命令的实例

还真抓住了!

编辑hdd.sh,发现了tar进程监控语句:

三、计策

一抓到“真凶”了,但是又不能处以“死刑”,因为还有“利用价值”,所以这是一个很棘手的事。

思考了下,有2种方案:

①、实时监控hdd.sh文件的出现,一出现就立即用sed干掉tar进程监控那一段代码;

②、固定hdd.sh,让其无法删除和替换,然后删除tar监控代码;

进一步思考发现,方案①不可行,先不说这实时监控会占资源,就是如何在执行之前把内容给修改了,都是一个头疼的问题,毕竟shell都是写入内存再执行代码的。等你删除tar监控代码了,对执行也没任何影响。

于是准备实施方案②。

四、实施

1、修改hdd.sh,屏蔽tar报警消息:

2、锁定hdd.sh,让监控端无法替换或删除

①、如何让suxirong家目录下面的hdd.sh文件,无法修改和替换,首先想到的就是去掉所有权及写入权限:

结果,切换到suxirong账号,居然还是可以删除或替换。。。

②、突然想起Linux还有一个-i 的文件属性可以锁定文件不被修改,于是执行如下语句:

用suxirong账号试下效果:

Linux下巧用chattr、watch命令的实例

所有者是suxirong,也有可写权限,可就是无法修改,有种偷笑的赶脚:

好了,目的达到,现在就算是root都无法修改了!具体效果只要等明天日志压缩计划任务运行的时候就知道了。

五、写在最后

其实,chattr和lsattr在张戈博客早期文章:Linux基础知识之文件隐藏属性 一文中就已经提到过。这次主要分享一下我在工作中正好用到chattr的实例,另外就是利用watch命令持续间隔执行某脚本的方法,特殊场景使用会有奇效,完毕!

发表评论

gravatar

:?::razz::sad::evil::!::smile::oops::grin::eek::shock::???::cool::lol::mad::twisted::roll::wink::idea::arrow::neutral::cry::mrgreen:

刷新评论

目前评论:5   其中:访客  5   博主  0

  1. 每日秀 4 来自天朝的朋友 未知浏览器 Unknow Os 江苏省苏州市 电信

    不错不错 我来你空间老是手抖 一抖就抖到百度XX上面去了

  2. PHP二次开发 6 来自天朝的朋友 未知浏览器 Unknow Os 山东省济南市 联通

    评论” />

  3. 幼儿园课桌椅 1 来自天朝的朋友 未知浏览器 Unknow Os 河北省廊坊市 联通

    万能的博主啊,

  4. 香港虚拟主机 3 来自天朝的朋友 未知浏览器 Unknow Os 重庆市 电信

    不错,很喜欢博主的文

  5. Wings Blog 4 来自天朝的朋友 未知浏览器 Unknow Os 广东省广州市萝岗区 电信

    强大的博主

加载中,请稍候...