有东西正在重新启动 crond!我该如何阻止这个?

有东西正在重新启动 crond!我该如何阻止这个?

我相信有东西正在试图进入我的系统,而且有些东西已经进入了我的系统,并且有一个进程正在重写我的数据库。我现在已经关闭了邮件,但由于没有邮件发出的日志,所以这似乎已经卡住了。

这是我上次登录时间 10:39:05 UTC:

ssh [email protected]
[email protected]'s password:
Last failed login: Sun Aug 14 10:31:45 UTC 2016 [8 minutes prior] from 116.31.116.18 on ssh:notty
There were 222 failed login attempts since the last successful login.
Last login: Sun Aug 14 04:11:35 2016 [previous evening, this was me] from 123.456.789.012 (my IP)

我是唯一使用该服务器的人。另外,116.31.116.18是澳大利亚以外的 IP 地址,基于http://whois.urih.com/record/116.31.116.18/

昨晚我这样做了:

service crond stop

它说 crond 不活动,但今天早上它又说它又活动了。

如何彻底卸载cron?目前这将是安全的选择。

答案1

您的代码片段并未显示任何人进入您的系统,仅显示有人尝试。不幸的是,这是完全正常的。 任何在 TCP/22 打开的情况下在 Internet 上可见的计算机将进行多次登录尝试。您可以通过以下方式减少其中任何一个成功的机会

  • 不允许root登录。使用(或创建)普通用户进行连接,并PermitRootLogin nosshd_config.

  • 不使用密码。设置公钥身份验证任何系统是公开可见的,并禁止所有带有配置项的密码尝试PasswordAuthentication no

  • 指定哪些用户(大概只有您)可以使用该指令登录(或者,对于更复杂的设置,可以使用、、和AllowUsers的适当组合)。DenyUsersAllowUsersDenyGroupsAllowGroups


至于 cron,如何停止它取决于 Linux 的风格以及crond你正在使用的风格。要禁用守护进程(而不是单个用户的 crontab),您可以尝试类似的操作

service cron stop

或者

systemctl stop cron

如果它在您停止后重新出现,请检查/etc/inittab是否没有该respawn守护进程的条目。

答案2

您可以使用以下命令删除 crond:

crontab-r

The current crontab will be removed.

crontab(1) - Linux 手册页

Current crontab表示当前用户,您可以使用whoami并查看您的用户。

相关内容