【问题标题】:disable cron for "www-data" user为“www-data”用户禁用 cron
【发布时间】:2017-07-31 16:02:52
【问题描述】:

我的旧 debian 服务器将 php 作为 dso 运行,并且一些恶意脚本总是为系统用户“www-data”添加 cron。我可以看到以某种方式为该用户添加了太多恶意 cron。由于服务器将 php 作为 dso 运行,我们无法跟踪添加 cron 的确切过程。

问。如何禁用“www-data”进一步添加 crons。喜欢为用户禁用整个 cron 机制?这可能吗?

问。我们如何找到这个 cron 编辑的 php 脚本?

我可以在 cron 文档中看到以下内容。

"at.allow 和 at.deny"

您还可以使用 /etc/at.allow 和 /etc/at.deny 文件来管理谁可以使用 at 安排作业。

/etc/at.allow 文件可以包含允许在作业中安排的用户列表。当 /etc/at.allow 不存在时,每个人都可以使用 at,除非他们的用户名列在 /etc/at.deny 中。

有/etc/at.deny 文件和“www-data”同时它仍然可以执行crons

【问题讨论】:

  • 这两个问题都无关紧要:您应该问的问题是他们如何访问您的服务器。
  • 同意。您的服务器已被入侵,或者您的站点上有易受攻击的脚本。首先,使该站点脱机。全面的安全审核,然后在解决这些问题后,将其重新安装到一个新的、不妥协的盒子上。

标签: php cron


【解决方案1】:

最后我找到了一个我自己为 apache 用户调整 cron 设置的解决方案,这样“www-data”用户就无法再添加 cron。

触摸 /var/spool/cron/crontabs/www-data; chmod 0 /var/spool/cron/crontabs/www-data

以下是上述调整的结果。

su www-data
$ 
$ crontab -e
crontabs/www-data/: fdopen: Permission denied$ 

【讨论】:

  • 谢谢!谢谢!这太棒了!
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2018-12-24
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多