Eu tenho crontabs rodando como o usuário padrão do ubuntu. Apenas hoje notei que todo o meu crontab foi deletado e substituído pelo clichê usual, como acontece quando você executa crontab -r
Algumas entradas de registro da nota:
/ var / log / syslog
Mar 15 14:45:18 localhost crontab[4732]: (ubuntu) DELETE (ubuntu)
/var/log/auth.log
Mar 15 14:46:02 localhost sshd[4793]: Connection closed by 127.0.0.1 [preauth]
Mar 15 14:48:16 localhost sshd[4901]: Connection closed by 127.0.0.1 [preauth]
Este é um servidor EC2 atrás de um grupo de segurança. O SSH é a chave restrita apenas ao meu IP.
Tenho equipe de suporte que realiza algumas ações usando o webmin. Existem logs de um membro da equipe executando cron cronogramas manualmente por volta das 11:00, mas nada entre 11:00 e 14:45
.bash_history para o usuário do Ubuntu não mostra nada.
Como posso descobrir o que excluiu o crontab? Poderia ser um bug no webmin que causou uma execução cron de longa execução para corromper o arquivo crontab? Não tive auditoria de sistema de arquivos ativada no webmin.
Tags ssh cron webmin ubuntu-16.04