Отслеживание «скрытого» задания cron
Каждый вечер создается резервная копия базы данных на сервере. Это хорошая вещь.
Странно то, что я не могу найти задание cron, которое это делает. Я зарегистрировался в / etc / cron * , я зарегистрировался в / var / spool / cron / . Я проверил crontab для всех остальных пользователей этой системы. Кажется, я не могу найти эту работу. Итак, моя следующая теория заключается в том, что задание выполняется удаленно, с подключением к серверу и последующим резервным копированием базы данных в файл. Похоже, что в настоящее время никто из участников ничего не знает (или не помнит) об этом процессе.
Мне нужно поймать эту работу с поличным! Я хотел бы узнать:
Действительно ли он выполняется удаленно? Если да, то как я могу узнать, откуда идет соединение? Я предполагаю, что это должен быть какой-то пользователь, у которого есть учетные данные, но я хотел бы знать , кто .
Если он выполняется локально, где - это файл, и почему его так сложно найти?
Как я могу найти эти вещи? Пока что единственное свидетельство, которое у меня есть, - это файлы дампа базы данных, которые создаются каждый вечер в одно и то же время.
В качестве первого шага я бы использовал inotifywait.
Предполагается, что это система Debian, если нет, вы можете перенести эквивалентные команды на свою систему.
Установите inotify-tools:
apt-get install inotify-tools -y
Запустите inotifywait на / и отслеживайте все доступы в течение ночи. Вот что я обычно использую:
echo 10000 > /proc/sys/fs/inotify/max_user_watches
inotifywait -mr / -e access -e create -e modify -e delete -e moved_to -e moved_from --format %w:%f:%e:%T --timefmt %F:%T >> /root/system.inotify.log &
Проверьте журналы на следующий день, чтобы понять, что произошло.
Даже если удаленная система скопирует сценарий локально, выполнит его, а затем удалит, вы все равно увидите его там. Что бы вы там ни увидели, вы поймете, что происходит, так как это будет улавливать все на базовом уровне.
Он не уязвим для условий гонки или если скрипт удаляет исходный файл очень быстро, так как он подключается к интерфейсу Linux inotify, поэтому никакие действия не будут пропущены.
Сообщите нам, что вы нашли, мне интересно узнать.