有人访问了我的EC2 Ubuntu14.04 并安装了一些恶意软件,cron以便使用用户进行端口扫描eric。我删除了用户eric并执行了文件,但syslog我看到
Sep 19 15:27:01 ip-xxx CRON[9388]: Authentication failure
Sep 14 08:45:01 ip-xxx CRON[9389]: (eric) CMD (/var/tmp/.muh/y >/dev/null 2>&1)
Sep 19 15:28:01 ip-xxx CRON[9389]: Authentication failure
Sep 19 15:29:01 ip-xxx CRON[9391]: Authentication failure
Sep 19 15:30:01 ip-xxx CRON[9392]: Authentication failure
Sep 19 15:31:01 ip-xxx CRON[9526]: Authentication failure
谁能告诉我如何找到cron已安装的(crontab为空的)?
答案1
尝试以下一项 (或两项):
chmod 000 /var/rmp/.muh/y(如果你想稍后分析)mv /var/tmp/.muh/y /tmp(移至其他位置)rm /var/tmp/.muh/y(彻底删除)
然后你必须找到cron它的安排位置并将其删除。
答案2
感谢大家帮助我解决我的问题并给予 -1。
真正感谢 http://www.cyberciti.biz/faq/how-do-i-add-jobs-to-cron-under-linux-or-unix-oses/
/var/spool/cron/crontabs/
-rw------- 1 1002 crontab 222 Sep 10 19:13 eric
-rw------- 1 ubuntu crontab 1148 Aug 25 16:44 ubuntu
被黑客入侵的账户 eric 放在了他的 crontab 中
* * * * * /var/tmp/.muh/y >/dev/null 2>&1
现在我可以修复它了:)