Quando você recebe e-mails como
From: [email protected] (Cron Daemon)
To: [email protected]
Subject: Cron <root@lxc2014> /dev/.x;^Mno crontab for root
X-Cron-Env: <LOGNAME=root>
/bin/sh: 1: ^Mno: not found
e você não pode dizer qual crontab contém o comando ofensivo, você pode grep para peças de comando nos lugares padrão:
grep -r "no crontab" /etc/cron* /var/spool/cron | cat -vet
O cat -vet
mostrará todos os caracteres de controle incorporados que, de outra forma, seriam invisíveis ou resultariam no movimento do cursor.
No seu caso, você encontrou o comando em
/var/spool/cron/crontabs/root:* * * * * /dev/.x;^Mno crontab for root$
e o arquivo contém isso (quebras de linha adicionadas para facilitar a leitura):
# DO NOT EDIT THIS FILE - edit the master and reinstall.\n
# (- installed on Thu Jul 20 20:50:12 2017)\n
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)\n
* * * * * /dev/.x;^Mno crontab for root
Por causa do caractere Ctrl + M incorporado, a execução de crontab -u root -l
aparece para mostrar apenas no crontab for root
. Parece que alguém está tentando ocultar a entrada do crontab. Sugiro que alguém familiarizado com a segurança e a perícia analise seu sistema para determinar se ele foi comprometido.
Você pode remover este crontab com crontab -u root -r
.
Você mencionou que /dev/.x
não existe e que essa string não aparece em nenhum arquivo em /etc
, mas, por favor, continue monitorando seu sistema para ver se esses arquivos reaparecem. Isso seria um strong indicador de que seu sistema ainda está comprometido.
Se possível, instale todos os patches de segurança oferecidos pela sua distribuição.