我的 cron 作业已停止在我的 CentOS 7 服务器上运行。服务器正在运行 WHM/cPanel。
这似乎是 PAM 服务的问题,因为在 /var/log/secure 中,当 cron 作业尝试运行时,我可以看到以下错误:
Jun 24 10:45:01 server1 crond[22400]: pam_access(crond:account): auth could not identify password for [root]
Jun 24 10:45:01 server1 crond[22404]: pam_access(crond:account): auth could not identify password for [admin]
Jun 24 10:45:01 server1 crond[22400]: pam_localuser(crond:account): auth could not identify password for [root]
Jun 24 10:45:01 server1 crond[22402]: pam_access(crond:account): auth could not identify password for [root]
Jun 24 10:45:01 server1 crond[22405]: pam_access(crond:account): auth could not identify password for [admin]
Jun 24 10:45:01 server1 crond[22400]: pam_localuser(crond:account): auth could not identify password for [root]
同样,/var/log/cron.log 显示 PAM 失败:
Jun 24 12:40:01 server1 crond[26129]: (admin) PAM ERROR (Authentication information cannot be recovered)
Jun 24 12:40:01 server1 crond[26129]: (admin) FAILED to authorize user with PAM (Authentication information cannot be recovered)
Jun 24 12:40:01 server1 crond[26130]: (admin) PAM ERROR (Authentication information cannot be recovered)
Jun 24 12:40:01 server1 crond[26130]: (admin) FAILED to authorize user with PAM (Authentication information cannot be recovered)
Jun 24 12:40:01 server1 crond[26125]: (root) PAM ERROR (Authentication information cannot be recovered)
Jun 24 12:40:01 server1 crond[26125]: (root) FAILED to authorize user with PAM (Authentication information cannot be recovered)
Jun 24 12:40:01 server1 crond[26127]: (root) PAM ERROR (Authentication information cannot be recovered)
Jun 24 12:40:01 server1 crond[26127]: (root) FAILED to authorize user with PAM (Authentication information cannot be recovered)
Jun 24 12:40:01 server1 crond[26131]: (admin) PAM ERROR (Authentication information cannot be recovered)
Jun 24 12:40:01 server1 crond[26131]: (admin) FAILED to authorize user with PAM (Authentication information cannot be recovered)
我尝试了以下方法但没有成功:
- 重新启动服务器
- 重新启动 cron 服务
- 编辑 /etc/security/access.conf 以确保允许 root 访问 cron
- cron.allow 不存在并且 cron.deny 为空,所以这不应该是问题
- 禁用 SELinux 并重新启动
- 更改 root 密码以确保不是过期问题
- 检查 /etc/passwd 和 /etc/shadow 中 root 和 admin 用户的密码
- 删除了所有 cron 作业,除了每分钟写入文本文件的简单作业之外。该 cron 作业也不起作用,因此它与 cron 中的作业无关。
请帮助,因为我不确定还能做什么来解决这个问题。值得注意的是,该问题从 6 月 21 日开始,发生时服务器未进行任何更改。
答案1
答案2
我刚刚遇到了同样的问题。他们告诉我的是:
我很遗憾地通知您,该服务器已在根级别受到名为 ShellBot 的恶意软件的危害。已知该恶意软件在运行“crontab”命令时会导致错误,但也可能导致许多其他问题,包括无法启动某些服务。
/lib/libgrubd.so 的存在(通常在干净的系统上找不到)表明存在此恶意软件。该恶意软件的安装方式会导致每次在服务器上运行程序时都会执行该恶意软件,并且可能会导致任何进程出现异常行为。