dendi009 最近的时间轴更新
dendi009

dendi009

V2EX 第 375091 号会员,加入于 2019-01-04 10:50:34 +08:00
请教各 PHPheader 跳转无响应的问题
程序员  •  dendi009  •  2023-02-27 10:39:52 AM  •  最后回复来自 Twnysta
5
PHP 文件格式问题请教
HTML  •  dendi009  •  2023-01-26 23:46:17 PM  •  最后回复来自 dendi009
2
招兼职, 来一个能帮忙改写 html
HTML  •  dendi009  •  2022-11-24 10:02:28 AM
Linux 宝塔环境 crond 问题排查
Linux  •  dendi009  •  2022-11-24 12:40:28 PM  •  最后回复来自 julyclyde
11
标准宝塔环境 NGINX 被挂码问题排查
Linux  •  dendi009  •  2022-11-09 00:17:13 AM  •  最后回复来自 dendi009
29
坐标深圳,求抑郁症科室推荐
生活  •  dendi009  •  2022-02-02 01:42:00 AM  •  最后回复来自 chasb
9
如何将 LVM 缩减, 再从 VG 中移除指定 PV, 达到重新挂载 SSD 的效果
  •  1   
    问与答  •  dendi009  •  2019-03-04 16:45:38 PM  •  最后回复来自 dendi009
    3
    dendi009 最近回复了
    2023-01-26 23:46:17 +08:00
    回复了 dendi009 创建的主题 HTML PHP 文件格式问题请教
    @imnpc 感谢,加班不易, 新年快乐
    2022-11-24 10:30:13 +08:00
    回复了 dendi009 创建的主题 Linux Linux 宝塔环境 crond 问题排查
    @julyclyde 贴的 进程就行 auditd 的记录, 189279 /usr/bin/crond -n , 父进程 是 1 ,
    2022-11-24 10:12:13 +08:00
    回复了 dendi009 创建的主题 Linux Linux 宝塔环境 crond 问题排查
    @julyclyde 问题不像你想的那么简单。不是明文放到任务 cron 配置文件的。
    /var/spool/cron/root /var/spool/cron/{any other user} . 都看过。 包括已有任务下面子任务看过。
    /var/log/cron 不记录对应任务日志就能说明问题了 。
    2022-11-24 09:55:59 +08:00
    回复了 dendi009 创建的主题 Linux Linux 宝塔环境 crond 问题排查
    @julyclyde 如下相关文件 及目录下的 配置文件。 这有啥不信。 写个脚本的对比正常机器, 就没异常
    /etc/cron.d
    /etc/cron.d/0hourly
    /etc/cron.deny
    /etc/pam.d/crond
    /etc/sysconfig/crond
    /usr/bin/crontab
    /usr/lib/systemd/system/crond.service
    /usr/sbin/crond
    /usr/share/doc/cronie-1.4.11
    /usr/share/doc/cronie-1.4.11/AUTHORS
    /usr/share/doc/cronie-1.4.11/COPYING
    /usr/share/doc/cronie-1.4.11/ChangeLog
    /usr/share/doc/cronie-1.4.11/INSTALL
    /usr/share/doc/cronie-1.4.11/README
    /usr/share/man/man1/crontab.1.gz
    /usr/share/man/man5/crontab.5.gz
    /usr/share/man/man8/cron.8.gz
    /usr/share/man/man8/crond.8.gz
    /var/spool/cron
    2022-11-13 11:50:58 +08:00
    回复了 dendi009 创建的主题 Linux Linux 宝塔环境 crond 问题排查
    @bjzhush 没 log ,通过审计工具 + inotify+脚本 抓的进程。 对应的任务在 /var/log 下任何位置都没出现
    2022-11-09 00:17:13 +08:00
    回复了 dendi009 创建的主题 Linux 标准宝塔环境 NGINX 被挂码问题排查
    @virusdefender config 是 在 waf 里面运行 lua 代码, 而且是明文, 代码内容是一定概率跳转 web 请求到 灰色网站上面,跟 config 内容没什么关系
    2022-11-08 18:14:00 +08:00
    回复了 dendi009 创建的主题 Linux 标准宝塔环境 NGINX 被挂码问题排查
    @R18 挂码内容是 lua 写的 概率跳转。 被挂了什么内容不是重点。 重点是怎么能一次次挂上去的。 参考最新发的 日志
    2022-11-08 18:12:22 +08:00
    回复了 dendi009 创建的主题 Linux 标准宝塔环境 NGINX 被挂码问题排查
    @bobryjosin 不是自己的机器,跨部门的
    2022-11-08 17:15:14 +08:00
    回复了 dendi009 创建的主题 Linux 标准宝塔环境 NGINX 被挂码问题排查
    type=PROCTITLE msg=audit(11/08/2022 11:35:38.933:42110) : proctitle=/usr/sbin/crond -n
    type=PATH msg=audit(11/08/2022 11:35:38.933:42110) : item=1 name=/www/server/nginx/waf/config inode=2315713966 dev=fd:00 mode=file,644 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:default_t:s0 objtype=CREATE cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
    type=PATH msg=audit(11/08/2022 11:35:38.933:42110) : item=0 name=/www/server/nginx/waf/ inode=2148973883 dev=fd:00 mode=dir,755 ouid=root ogid=root rdev=00:00 obj=unconfined_u:object_r:default_t:s0 objtype=PARENT cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
    type=CWD msg=audit(11/08/2022 11:35:38.933:42110) : cwd=/
    type=SYSCALL msg=audit(11/08/2022 11:35:38.933:42110) : arch=x86_64 syscall=open success=yes exit=10 a0=0x7fb668026ab0
    a1=O_WRONLY|O_CREAT|O_TRUNC a2=0666 a3=0x24 items=2 ppid=75054 pid=125380 auid=unset uid=root
    gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none)
    ses=unset comm=crond exe=/usr/sbin/crond subj=system_u:system_r:crond_t:s0-s0:c0.c1023 key=config

    现在能确认到 /usr/sbin/crond -n 这个命令过程执行了 create 操作。
    直接 SHELL 执行, /usr/sbin/crond -n
    回显 "crond: can't lock /var/run/crond.pid, otherpid may be 109408: Resource temporarily unavailable"
    crond 守护进程状态正常, 通过 rpm -ql 在 逐个对比 文件 md5 也没发现被篡改的地方,
    哪位老板能支支招,怎么查这个问题
    2022-11-08 01:56:58 +08:00
    回复了 dendi009 创建的主题 Linux 标准宝塔环境 NGINX 被挂码问题排查
    @learningman 没有内网, 都是公网 IP ,各不相同的内容,不同 地区机器, 相互直接没有登陆过
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1344 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 17:25 · PVG 01:25 · LAX 09:25 · JFK 12:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.