auth log parece estar executando o cronjob de mistério

Navegue suas respostas
1

Olhei para o meu log de autenticação para ver se os bots estavam tentando obter acesso e vi um cronjob que parece estar em execução, mas não consigo entender por quê. É assim que o log de autenticação se parece ... 

Dec  7 13:55:01 myuser CRON[7362]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec  7 13:55:01 myuser CRON[7362]: pam_unix(cron:session): session closed for user root
Dec  7 14:05:01 myuser CRON[7385]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec  7 14:05:01 myuser CRON[7385]: pam_unix(cron:session): session closed for user root
Dec  7 14:15:01 myuser CRON[7408]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec  7 14:15:01 myuser CRON[7408]: pam_unix(cron:session): session closed for user root

então ele está sendo executado a cada dez minutos no ponto. Quando eu olho para o meu crontab de raiz eu vejo isso. 

#0      0       *       *       *       job.sh
0       0       *       *       *       job2.sh
#0      23      *       *       *       job3.sh
0       0       */10    *       *       job4.sh
0       0       */5     *       *       job5.sh

Alguns trabalhos são comentados de propósito. Eu vejo apenas uma coisa que tem um intervalo de * / 10, mas isso é na coluna de dia, não na coluna de minuto ... Alguma ideia de onde eu possa ver em seguida?

sudo -u root crontab -l: 

#0  0   *   *   *   job.sh
0   0   *   *   *   job2.sh
#0  23  *   *   *   job3.sh
0   0   */10    *   *   job4.sh
0   0   */5 *   *   job5.sh

/ etc / crontab: 

# /etc/crontab: system-wide crontab
# Unlike any other crontab you don't have to run the 'crontab'
# command to install the new version when you edit this file
# and files in /etc/cron.d. These files also have username fields,
# that none of the other crontabs do.

SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

# m h dom mon dow user  command
17 *    * * *   root    cd / && run-parts --report /etc/cron.hourly
25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6    * * 7   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6    1 * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
#

Eu fiz cat * do cron.d dir e editei todos os comentários e recebi: 

57 0 * * 0 root if [ -x /usr/share/mdadm/checkarray ] && [ $(date +\%d) -le 7 ]; then /usr/share/mdadm/checkarray --cron --all --idle --quiet; fi
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
31 21 * * *   root    test -x /etc/cron.daily/popularity-contest && /etc/cron.daily/popularity-contest --crond
PATH=/usr/lib/sysstat:/usr/sbin:/usr/sbin:/usr/bin:/sbin:/bin
5-55/10 * * * * root command -v debian-sa1 > /dev/null && debian-sa1 1 1
59 23 * * * root command -v debian-sa1 > /dev/null && debian-sa1 60 2
    
por deltaskelta 07.12.2016 / 06:34

1 resposta

2

Como visto, estes são de: 

5-55/10 * * * * root command -v debian-sa1 > /dev/null && debian-sa1 1 1

e o comando debian-sa1 ( /usr/lib/sysstat/debian-sa1 ), é basicamente um script wrapper, é do pacote sysstat . O nome do arquivo em /etc/cron.d/ deve ser sysstat .

Mais confirmação: 

% dpkg -S /usr/lib/sysstat/debian-sa1
sysstat: /usr/lib/sysstat/debian-sa1

% dpkg -S /etc/cron.d/sysstat 
sysstat: /etc/cron.d/sysstat

e o comentário acima da linha é: 

# Activity reports every 10 minutes everyday
5-55/10 * * * * root command -v debian-sa1 > /dev/null && debian-sa1 1 1

debian-sa1 está chamando /usr/lib/sysstat/sa1 , que por sua vez está chamando sadc eventualmente.

    
por heemayl 07.12.2016 / 06:53
mod_expires não funcionará depois de ativado no apache2.conf O Python 3 não pode importar pacotes de terceiros