Я считаю, что что-то пытается проникнуть в мою систему, а также, что что-то уже проникло, и есть процесс, который переписывает мои базы данных. Я отключил почту на время, и это, похоже, помогло, так как нет журнала исходящей почты.
Вот данные моего последнего входа в систему в 10:39:05 UTC:
ssh root@xxx.com
root@xxx.com's password:
Last failed login: Sun Aug 14 10:31:45 UTC 2016 [8 minutes prior] from 116.31.116.18 on ssh:notty
There were 222 failed login attempts since the last successful login.
Last login: Sun Aug 14 04:11:35 2016 [previous evening, this was me] from 123.456.789.012 (my IP)
Я единственный человек, который использует сервер. Также, 116.31.116.18
- это IP-адрес из Австралии, основанный на http://whois.urih.com/record/116.31.116.18/
Вчера вечером я сделал вот что:
service crond stop
И он сказал, что crond был неактивен, но сегодня утром он сказал, что он снова активен.
Как мне удалить cron полностью? Это был бы самый безопасный вариант на данный момент.
Ваш фрагмент не показывает, что кто-то проник в вашу систему, только то, что были попытки. К сожалению, это совершенно нормально. Любая машина, видимая в Интернете с открытым TCP / 22, получит множество попыток входа в систему. Вы можете уменьшить шансы на успех любого из них,
запретив вход в систему с правами root. Используйте (или создайте) обычного пользователя для подключения и добавьте (или измените) строку PermitRootLogin №
в вашем sshd_config
.
не используют пароли. Настройте аутентификацию с открытым ключом для любой системы, которая является общедоступной, и запретите все попытки ввода пароля с помощью элемента конфигурации PasswordAuthentication no
.
укажите, какие пользователи (предположительно только вы) могут входить в систему с помощью директивы AllowUsers
(или, для более сложной настройки, соответствующей комбинации DenyUsers
, AllowUsers
, DenyGroups
и AllowGroups
).
Что касается cron, то, как вы его остановите, будет зависеть от того, какой вариант Linux и какой вариант crond
вы используете. Чтобы отключить демон (а не crontab отдельных пользователей), вы можете попробовать что-нибудь вроде
service cron stop
или
systemctl stop cron
. Если он возрождается после того, как вы его остановили, проверьте, что / etc / inittab
не имеет respawn
запись для демона.
. Вы можете удалить crond с помощью:
crontab -r
The current crontab will be removed.
crontab (1) - страница руководства Linux
Текущий crontab
означает текущего пользователя, вы можете использовать whoami
и проверить своего пользователя.