22.01.2015 14:03, Yuri Kurenkov пишет:
22.01.2015 14:12, [email protected] пишет:
Всем привет.
Случайно на части серверов (версии ОС разные, 8.4, 10.0, 10.1)
обнаружил файл
с именем 1, причём дата изменения файла разная (то 0:0, то время моего
входа).
Гугление выдаёт разную чепуху.
Руткит? Вирус? У кого-то было подобное?
Как варант, это могло произойти в случае ошибки в каком-то скрипте при
попытке переадресации stderr в, например, /dev/null
Юрий, вы оказалось правы. Да и через dtrace всё указывало, что явно
замешан cron. Соорудил такой скрипт:
dtrace -n 'syscall::open*:entry { printf("%d %d %s
%s",pid,curpsinfo->pr_ppid,execname,copyinstr(arg0)); }' >> /tmp/dtrace
Потом посмотрел файл и нашёл кучу sh 1. Пробежался по paren pid,
аргументам и заметил много разных вызовов
open:entry 21922 21921 cron
Далее прошёлся по всем кронам ещё раз внимательно и действительно, в
некоторых оказалось было прописано:
... > /dev/null &2>1
вместо
... > /dev/null 2>&1
Всем спасибо.
