Rastreando um cron job "oculto"

Navegue suas respostas
0

Todas as noites, é feito backup de um banco de dados em um servidor. Isso é bom.

O mais estranho é que não consigo encontrar o cron job que faz isso. Eu verifiquei em /etc/cron* , eu verifiquei em /var/spool/cron/ . Eu verifiquei crontabs para todos os outros usuários neste sistema. Eu não consigo encontrar este trabalho. Portanto, minha próxima teoria é que a tarefa está sendo executada remotamente, conectando-se ao servidor e, em seguida, fazendo o backup do banco de dados em um arquivo. Ninguém atualmente envolvido parece saber (ou lembrar) qualquer coisa sobre esse processo.

Eu preciso pegar esse trabalho no ato! Eu gostaria de descobrir:

É realmente executado remotamente? Se sim, como posso encontrar de onde a conexão está vindo? Eu suponho que deve ser de algum usuário que tenha credenciais de login, mas gostaria de saber quem .

Se está sendo executado localmente, onde é o arquivo, e como é tão difícil encontrá-lo?

Como posso encontrar essas coisas? Até agora, a única evidência que tenho disso é que arquivos de despejo de banco de dados são criados exatamente na mesma hora todas as noites.

    
por FrustratedWithFormsDesigner 25.01.2017 / 18:02

1 resposta

1

Como primeiro passo, usaria inotifywait .

Assumindo um sistema Debian, se não você pode portar os comandos equivalentes para o seu sistema.

Instale o inotify-tools: 

apt-get install inotify-tools -y

Execute inotifywait em / e monitore todos os acessos durante a noite. Aqui está o que eu uso normalmente: 

echo 10000 > /proc/sys/fs/inotify/max_user_watches
inotifywait -mr / -e access -e create -e modify -e delete -e moved_to -e moved_from --format %w:%f:%e:%T --timefmt %F:%T >> /root/system.inotify.log &

Verifique os registros no dia seguinte para saber o que aconteceu.

Mesmo que um sistema remoto copie um script localmente, execute-o e exclua-o, você ainda o verá lá. O que quer que você veja, vai sugerir a você o que acontece, pois vai pegar tudo no nível subjacente.

Não é vulnerável a condições de corrida ou se o script excluir o arquivo de origem rapidamente, pois ele fica preso à interface inotify do Linux, portanto, nenhuma ação será perdida.

Deixe-nos saber o que você acha, estou interessado em saber.

    
por 26.01.2017 / 04:59

Tags

configura o dispositivo de entrada de áudio padrão como saída de áudio selecione uma interface de rede privada