Komunikaty w logach

klekSu · Post autor: **klekSu** » 25 kwietnia 2009, 08:57

W /var/log/syslog co minutę pokazuje mi się takie coś:

Apr 25 08:43:01 user /USR/SBIN/CRON[7637]: (root) CMD (/usr/local/rtm/bin/rtm 17 > /dev/null 2> /dev/null)

Co 30 minut:

Kod: Zaznacz cały

Apr 25 08:39:01 user /USR/SBIN/CRON[7414]: (root) CMD (  [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5

Czy to normalne?

Także w auth.log:

Kod: Zaznacz cały

Apr 25 08:42:01 user CRON[7593]: pam_unix(cron:session): session opened for user root by (uid=0)
Apr 25 08:42:01 user CRON[7593]: pam_unix(cron:session): session closed for user root

Co może być przyczyną?

sigo · Post autor: **sigo** » 25 kwietnia 2009, 11:19

Pokaż co wypisuje polecenie

Kod: Zaznacz cały

crontab -l

Zarówno z użytkownika, jak i roota.

klekSu · Post autor: **klekSu** » 25 kwietnia 2009, 17:08

Kod: Zaznacz cały

no crontab for root

Kod: Zaznacz cały

no crontab for user

sigo · Post autor: **sigo** » 25 kwietnia 2009, 17:39

Nie pamiętam jacy użytkownicy po instalacji apache czy php są dodawani, ale sprawdź także crontab dla tych użytkowników (powinni mieć w nazwie apache, www-data, php czy inne - możesz to sprawdzić w pliku /etc/passwd).

Ewidentnie wygląda to na zautomatyzowaną czynność - coś loguje się na roota, wykonuje polecenie i w tej samej sekundzie się wylogowuje.

Przy okazji: masz użytkownika o nazwie user?

panel · Post autor: **panel** » 25 kwietnia 2009, 20:23

Popatrz w /etc/cron.d - powinno coś być.

klekSu · Post autor: **klekSu** » 25 kwietnia 2009, 23:45

/etc/cron.d/ddos.cron z zawartością:

Kod: Zaznacz cały

SHELL=/bin/sh
0-59/1 * * * * root /usr/local/ddos/ddos.sh >/dev/null 2>&1

oraz refresh.apf:

Kod: Zaznacz cały

MAILTO=
SHELL=/bin/bash
*/10 * * * * root /etc/apf/apf --refresh >> /dev/null 2>&1 &

@sigo, nie mam użytkownika ,,user'', ale po prostu nazwy nie chcę podawać.

lis6502 · Post autor: **lis6502** » 25 kwietnia 2009, 23:49

Jakbyś napisał wcześniej, że to serwer OVH to byłoby dużo prościej. Choć dziwić może nazwa skryptu ddos.sh. Ale żaden specjalista nie nazwałby chyba tak oczywistą nazwą skryptu.

sigo · Post autor: **sigo** » 29 kwietnia 2009, 01:45

Na przyszłość; wyjaśnienie.

Kod: Zaznacz cały

Apr 25 08:39:01 user /USR/SBIN/CRON[7414]: (root) CMD (  [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5

Kod: Zaznacz cały

# /etc/cron.d/php5: crontab fragment for php5
#  This purges session files older than X, where X is defined in seconds
#  as the largest value of session.gc_maxlifetime from all your php.ini
#  files, or 24 minutes if not defined.  See /usr/lib/php5/maxlifetime

# Look for and purge old sessions every 30 minutes
09,39 *     * * *     root   [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -n 200 -r -0 rm