【发布时间】:2017-07-31 16:02:52
【问题描述】:
我的旧 debian 服务器将 php 作为 dso 运行,并且一些恶意脚本总是为系统用户“www-data”添加 cron。我可以看到以某种方式为该用户添加了太多恶意 cron。由于服务器将 php 作为 dso 运行,我们无法跟踪添加 cron 的确切过程。
问。如何禁用“www-data”进一步添加 crons。喜欢为用户禁用整个 cron 机制?这可能吗?
问。我们如何找到这个 cron 编辑的 php 脚本?
我可以在 cron 文档中看到以下内容。
"at.allow 和 at.deny"
您还可以使用 /etc/at.allow 和 /etc/at.deny 文件来管理谁可以使用 at 安排作业。
/etc/at.allow 文件可以包含允许在作业中安排的用户列表。当 /etc/at.allow 不存在时,每个人都可以使用 at,除非他们的用户名列在 /etc/at.deny 中。
有/etc/at.deny 文件和“www-data”同时它仍然可以执行crons
【问题讨论】:
-
这两个问题都无关紧要:您应该问的问题是他们如何访问您的服务器。
-
同意。您的服务器已被入侵,或者您的站点上有易受攻击的脚本。首先,使该站点脱机。全面的安全审核,然后在解决这些问题后,将其重新安装到一个新的、不妥协的盒子上。