我的旧debian服务器运行php作为dso,一些恶意脚本总是为系统用户"www-data"添加cron.我可以看到为这个用户添加了太多的恶意crons.由于服务器运行php作为dso,我们无法跟踪添加cron的确切进程.
问:如何禁用"www-data"进一步添加crons.比如为用户禁用整个cron机制?那可能吗?
问:我们怎样才能找到这个cron编辑的PHP脚本?
我可以在cron文档中看到以下内容.
"at.allow和at.deny"
您还可以使用/etc/at.allow和/etc/at.deny文件来管理可以使用at调度作业的人员.
/etc/at.allow文件可以包含允许在作业中计划的用户列表.当/etc/at.allow不存在时,除非他们的用户名在/etc/at.deny中列出,否则每个人都可以使用at.
有/etc/at.deny文件和"www-data"同时它仍然可以执行crons
最后,我找到了一个针对apache用户自己调整的cron设置的解决方案,使得"www-data"用户无法再添加cron.
touch/var/spool/cron/crontabs/www-data; chmod 0/var/spool/cron/crontabs/www-data
以下是上述调整的结果.
su www-data
$
$ crontab -e
crontabs/www-data/: fdopen: Permission denied$