这是我mail在 CentOS 7 服务器中运行的命令:
[root@ ~]# mail
Heirloom Mail version [version no.]. Type ? for help.
"/var/spool/mail/root": 2 messages
> 1 (Cron Daemon) [date] [time] ##/### "Cron <root@[fs]-[os]> cd /var/lib/vz-guest"
打开第一封邮件后,我收到:
Message 1:
From root@hfs-[os].[serverurl].net [date] [time] [year]
Return-Path: <root@[fs]-[os].[serverurl].com>
X-Original-To: root
Delivered-To: root@[fs]-[os].[serverurl].com
From: "(Cron Daemon)" <root@[fs]-[os].[serverurl].com>
To: root@hfs-[os].[serverurl].net
Subject: Cron <root@[fs]-[os]> cd /var/lib/vz-guest-tools && ( bash ./install | logger -t 'VZTOOLS_udev{cron}' ) && cd /var/lib && rm -rf /var/lib/vz-guest-tools ; sed -i '/vz-guest-tools/d' /etc/crontab
Content-Type: text/plain; charset=UTF-8
Auto-Submitted: auto-generated
Precedence: bulk
X-Cron-Env: <XDG_SESSION_ID=1>
X-Cron-Env: <XDG_RUNTIME_DIR=/run/user/0>
X-Cron-Env: <LANG=en_US.UTF-8>
X-Cron-Env: <SHELL=/bin/bash>
X-Cron-Env: <PATH=/sbin:/bin:/usr/sbin:/usr/bin>
X-Cron-Env: <MAILTO=root>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <LOGNAME=root>
X-Cron-Env: <USER=root>
Date: [date] [time] +0000 (UTC)
Status: RO
Created symlink from /etc/systemd/system/multi-user.target.wants/fstrim.timer to /usr/lib/systemd/system/fstrim.timer.
Failed to stop qemu-guest-agent.service: Unit qemu-guest-agent.service not loaded.
我的托管服务提供商说这似乎不是他们发来的。邮件日志不可用。我怎么知道这是从哪里来的?
注意:我的服务器已经开放电子邮件中继几天了,这可能是通过这种方式进入该服务器的批量邮件,并且吓到了我们吗?
注 2:我找不到目录/var/lib/vz-guest-tools,但我看到了/etc/systemd/system/multi-user.target.wants/fstrim.timer
注 3:消息的日期是服务器根本不活动的日期。
答案1
虽然我不确定这是否是一个完整的答案,但这是我看到的。几乎可以肯定,这是来自cron在 root 上下文中运行的作业的警告通知,该作业在下午 2:13(UTC)运行命令cd /var/lib/vz-guest-tools && ( bash ./install | logger -t 'VZTOOLS_udev{cron}' ) && cd /var/lib && rm -rf /var/lib/vz-guest-tools ; sed -i '/vz-guest-tools/d' /etc/crontab。您找不到/var/lib/vz-guest-tools目录的原因是部分命令会删除该目录。这看起来像是延迟安装vz-guest-tools;它们似乎已经进入了/vz-guest-tools目录。vz-guest-tools是 Virtuozzo Hybrid VM 系统的一部分;如果您不是故意在系统上运行 Virtuozzu VM,这可能是安装实际上是 rootkit 的东西。