Hier führe ich mailden Befehl auf einem CentOS 7-Server aus:
[root@ ~]# mail
Heirloom Mail version [version no.]. Type ? for help.
"/var/spool/mail/root": 2 messages
> 1 (Cron Daemon) [date] [time] ##/### "Cron <root@[fs]-[os]> cd /var/lib/vz-guest"
Beim Öffnen der E-Mail Nr. 1 erhalte ich:
Message 1:
From root@hfs-[os].[serverurl].net [date] [time] [year]
Return-Path: <root@[fs]-[os].[serverurl].com>
X-Original-To: root
Delivered-To: root@[fs]-[os].[serverurl].com
From: "(Cron Daemon)" <root@[fs]-[os].[serverurl].com>
To: root@hfs-[os].[serverurl].net
Subject: Cron <root@[fs]-[os]> cd /var/lib/vz-guest-tools && ( bash ./install | logger -t 'VZTOOLS_udev{cron}' ) && cd /var/lib && rm -rf /var/lib/vz-guest-tools ; sed -i '/vz-guest-tools/d' /etc/crontab
Content-Type: text/plain; charset=UTF-8
Auto-Submitted: auto-generated
Precedence: bulk
X-Cron-Env: <XDG_SESSION_ID=1>
X-Cron-Env: <XDG_RUNTIME_DIR=/run/user/0>
X-Cron-Env: <LANG=en_US.UTF-8>
X-Cron-Env: <SHELL=/bin/bash>
X-Cron-Env: <PATH=/sbin:/bin:/usr/sbin:/usr/bin>
X-Cron-Env: <MAILTO=root>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <LOGNAME=root>
X-Cron-Env: <USER=root>
Date: [date] [time] +0000 (UTC)
Status: RO
Created symlink from /etc/systemd/system/multi-user.target.wants/fstrim.timer to /usr/lib/systemd/system/fstrim.timer.
Failed to stop qemu-guest-agent.service: Unit qemu-guest-agent.service not loaded.
Mein Hosting-Anbieter sagt, dass dies anscheinend nicht von ihm kommt. Maillogs sind nicht verfügbar. Wie kann ich herausfinden, woher das kommt?
Hinweis: Mein Server war einige Tage lang ein offenes E-Mail-Relay. Handelt es sich hierbei möglicherweise einfach um eine Massenmail, die auf diesem Weg auf den Server gelangt ist und uns Angst macht?
Hinweis 2: Ich kann das Verzeichnis nicht finden /var/lib/vz-guest-tools, sehe aber/etc/systemd/system/multi-user.target.wants/fstrim.timer
Hinweis 3: Das Datum der Nachricht stammt von einem Tag, an dem der Server überhaupt nicht aktiv war.
Antwort1
Obwohl ich nicht sicher bin, ob dies eine vollständige Antwort ist, ist hier, was ich sehen kann. Mit ziemlicher Sicherheit handelt es sich hierbei um eine Warnmeldung von einem cronJob, der im Root-Kontext ausgeführt wurde und den Befehl cd /var/lib/vz-guest-tools && ( bash ./install | logger -t 'VZTOOLS_udev{cron}' ) && cd /var/lib && rm -rf /var/lib/vz-guest-tools ; sed -i '/vz-guest-tools/d' /etc/crontabum 14:13 Uhr (UTC) ausführte. Der Grund, warum Sie das /var/lib/vz-guest-toolsVerzeichnis nicht finden können, ist, dass ein Teil des Befehls dieses Verzeichnis löscht. Dies sieht nach einer verzögerten Installation von aus ; sie scheinen in das Verzeichnis vz-guest-toolsgegangen zu sein . sind Teil des Virtuozzo Hybrid VM-Systems; wenn Sie Virtuozzu-VMs nicht absichtlich auf Ihrem System ausführen, könnte dies die Installation eines effektiven Rootkits sein./vz-guest-toolsvz-guest-tools