- 締切済み
cronの設定が消える
普通ではありえそうも無い現象があり、 調べても知識不足の為分からず、質問する事にしました。 redhat9のサーバーを運営していますが、突然cronが動作せず、 調べたところ、設定ファイルが0バイトになっていました。 cronのログを調べたところ、 0バイトのファイルのタイムスタンプとほぼ同時刻に、 REPLACEとRELOADがログに出力されていました。 特に設定を変更する操作もしておらず、 サーバーへのアクセスもsshによるファイルのアップのみです。 通常では考えられない症状ですが、 この様な事は起こりうるのでしょうか? ご存知の方がいらっしゃいましたらお教えください。 一応報告義務があるので急ぎです。
- nobon
- お礼率90% (19/21)
- その他(ITシステム運用・管理)
- 回答数2
- ありがとう数3
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- Wr5
- ベストアンサー率53% (2173/4061)
回答No.2
> cronのログを調べたところ、 > 0バイトのファイルのタイムスタンプとほぼ同時刻に、 > REPLACEとRELOADがログに出力されていました。 その時刻に自分で何かやった記憶がないのであれば、 クラッキングされた可能性も考えた方がよいかと。 Redhat系ならば、cronでLogWatchが動作している可能性が高いので、 攻撃者がログレポートを阻む目的でcrontabを破壊した可能性もあり得ます。 # もっともその場合、ログレポートのメールが届かないので気付くと思いますが。 ## なお、一般ユーザーでcrontab -eしていたヤツを誤操作で消してしまったことはあるけど。 ## 以後一般ユーザーでcrontab -eで変更したら、crontab -lでバックアップを取るようにしました…
- uki629
- ベストアンサー率23% (40/172)
回答No.1
特に何もしてないとかなら 最悪な状態として考えられるのがクラッキングによる改変。
補足
返事が送れてすみません。 設定が消えたと思われる同時刻にコマンドのヒストリーでcrontab -eがありました。 また、同時に/tmpにバックアップができていました。 今までは、またその後も、crontab -eで編集してcrontab -lで確認しても、/tmpにバックアップが作成された事はありませんでした。 /tmpにバックアップができたことから何か原因はつかめないのでしょうか? 「crontab -eしていたヤツを誤操作で消してしまった」との事ですが、 具体的にはどのようなものでしょうか? お答えいただけると幸いです。