这几天,我的 Ubuntu 20.10 系统出现了关机问题。每当我关闭电源时,systemd 都会立即通知。Waiting for process: crond在做了一些研究并阅读了有关 cron、crontab、anacron 等的几页手册后,我找到了问题的根本原因,即/etc/cron/collect:-
*/10 * * * * root /var/tmp/crond
调用 journalctl 确认了这一点,其中多次出现了(root) CMD (/var/tmp/crond)。我在网上搜索了很多,想知道 crond 是否是系统的关键部分,我的理解是它并不重要。但我想确定一下,所以我搜索了系统中的所有内容,找到了一个文件,它的/run/crond.pidpid是计划任务在其中,而不是在过程中克伦德或具体文件/var/tmp/crond和为了更确定我已经在 gnome-disks 上安装了 ubuntu 并且正如预期的那样我发现的一切都没有collect工作并且没有crond文件/var/tmp目录,毕竟,为什么任何理智的人都会把一个重要的系统文件放在一个表明它是临时的目录中。但是是的,我真的不想弄乱我的系统,所以我来这里是为了听听可以安全地删除它/etc/cron.d/collect。/var/tmp/crond那么你怎么说?
回应评论:/var/tmp/crond是二进制可执行文件
答案1
两周以来,Xubuntu 20.04 上一直存在同样的问题。我的系统在显示以下内容后挂起:
Reached target Reboot.
systemd-shutdown[1]: Waiting for process: crond
使用此命令搜索 cron 作业文件后:
find /etc/cron* -type f | xargs ls -ltr
我发现了 2 个潜在的“罪魁祸首”(均具有最近的更新日期):
/etc/cron.daily/google-chrome
/etc/cron.d/collect
为了禁用它们,我将这些文件移到其他地方(在我的主目录中)并重新启动两次进行检查。
太棒了!我恢复了快速关机!
PS:该文件/etc/cron.daily/google-chrome是一个看起来还不错的脚本。但该文件调度了一个未记录的/etc/cron.d/collect奇怪二进制文件。/var/tmp/crond
这个帖子给我指明了方向。
答案2
万一将来有人遇到这个问题,极其罕见的机会是:
/etc/cron/collect该文件被认定为属于信息窃取病毒,卡巴斯基 ID 已知Trojan.Shell.Agent.de。
如果在安装免费下载管理器后出现症状,则很不幸您安装了被劫持的免费下载管理器副本,该副本会将上述病毒部署到您的机器上。
要清除安装中的病毒,请卸载 Free Desktop Manager,删除 /etc/apt/sources.list.d/freedownloadmanager.list、/etc/cron.d/collect、/var/tmp/crond、/var/tmp/bs 和 /var/tmp/atd,然后重新启动。更改任何已登录网站的密码因为病毒可能已将您保存的浏览器凭据等发送给其创建者。
更多信息:https://securelist.com/backdoored-free-download-manager-linux-malware/110465/