這是我mail在 CentOS 7 伺服器中運行的命令:
[root@ ~]# mail
Heirloom Mail version [version no.]. Type ? for help.
"/var/spool/mail/root": 2 messages
> 1 (Cron Daemon) [date] [time] ##/### "Cron <root@[fs]-[os]> cd /var/lib/vz-guest"
打開#1 郵件後,我收到:
Message 1:
From root@hfs-[os].[serverurl].net [date] [time] [year]
Return-Path: <root@[fs]-[os].[serverurl].com>
X-Original-To: root
Delivered-To: root@[fs]-[os].[serverurl].com
From: "(Cron Daemon)" <root@[fs]-[os].[serverurl].com>
To: root@hfs-[os].[serverurl].net
Subject: Cron <root@[fs]-[os]> cd /var/lib/vz-guest-tools && ( bash ./install | logger -t 'VZTOOLS_udev{cron}' ) && cd /var/lib && rm -rf /var/lib/vz-guest-tools ; sed -i '/vz-guest-tools/d' /etc/crontab
Content-Type: text/plain; charset=UTF-8
Auto-Submitted: auto-generated
Precedence: bulk
X-Cron-Env: <XDG_SESSION_ID=1>
X-Cron-Env: <XDG_RUNTIME_DIR=/run/user/0>
X-Cron-Env: <LANG=en_US.UTF-8>
X-Cron-Env: <SHELL=/bin/bash>
X-Cron-Env: <PATH=/sbin:/bin:/usr/sbin:/usr/bin>
X-Cron-Env: <MAILTO=root>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <LOGNAME=root>
X-Cron-Env: <USER=root>
Date: [date] [time] +0000 (UTC)
Status: RO
Created symlink from /etc/systemd/system/multi-user.target.wants/fstrim.timer to /usr/lib/systemd/system/fstrim.timer.
Failed to stop qemu-guest-agent.service: Unit qemu-guest-agent.service not loaded.
我的託管提供者說這看起來不像是來自他們。郵件日誌不可用。我怎麼知道這是從哪裡來的?
注意:我的伺服器幾天來一直是開放式電子郵件中繼,這可能只是以這種方式進入該伺服器的大量郵件,只是嚇唬我們?
註2:我找不到目錄/var/lib/vz-guest-tools,但我看到了/etc/systemd/system/multi-user.target.wants/fstrim.timer
註3:訊息的日期是伺服器根本不活動時的日期。
答案1
雖然我不確定這是否是完整的答案,但這就是我所看到的。幾乎可以肯定,這是來自在根上下文中運行的作業的警告通知,該作業在下午 2:13 (UTC)cron運行該命令。cd /var/lib/vz-guest-tools && ( bash ./install | logger -t 'VZTOOLS_udev{cron}' ) && cd /var/lib && rm -rf /var/lib/vz-guest-tools ; sed -i '/vz-guest-tools/d' /etc/crontab您找不到該/var/lib/vz-guest-tools目錄的原因是命令的一部分刪除了該目錄。這看起來像是延遲安裝vz-guest-tools;他們似乎已經進入/vz-guest-tools目錄了。vz-guest-tools是 Virtuozzo 混合 VM 系統的一部分;如果您不是有意在系統上執行 Virtuozzu VM,則這可能是實際上安裝了 rootkit。