毎晩データベースがサーバーにバックアップされます。これは良いことです。
奇妙なことは、これを実行するクローンタスクが見つからないことです。ログインしました/etc/cron*。ログインしました/var/spool/cron/。システム内の他のすべてのユーザーのcrontabを確認しました。これがうまくいくことがわからないので、次の理論は、ジョブがリモートで実行されてサーバーに接続し、データベースをファイルにバックアップすることです。現在関係している誰もこのプロセスについて知っている(または覚えている)人がいないようです。
私はすぐにこの仕事を手に入れなければなりません!私は次のことを知りたいです:
本当にリモートで実行されますか?それでは、接続がどこから来るのかをどうやって知ることができますか?私はそれがログイン資格情報を持つ一部のユーザーから来たと仮定していますが、知りたいのですが。WHO。
ローカルで実行されている場合どここのファイルですが、なぜ見つけるのは難しいですか?
これらのことをどのように見つけることができますか?これまでこのようなことが起きているという証拠は、毎晩同じ時間に生成されたデータベースダンプファイルだけだ。
ベストアンサー1
最初のステップとしてinotifywait。
これはDebianシステムを想定しています。そうでない場合は、そのコマンドをシステムに移植できます。
inotifyツールをインストールします。
apt-get install inotify-tools -y
/でinotifywaitを実行し、一晩中すべてのアクセスを監視します。これが私が一般的に使用するものです:
echo 10000 > /proc/sys/fs/inotify/max_user_watches
inotifywait -mr / -e access -e create -e modify -e delete -e moved_to -e moved_from --format %w:%f:%e:%T --timefmt %F:%T >> /root/system.inotify.log &
何が起こったのかを調べるには、翌日のログを確認してください。
リモートシステムがスクリプトをローカルにコピーして実行してから削除しても、そのスクリプトを表示できます。そこで何を見ても下のすべてを捉えるので、何が起こっているのかについてのヒントを与えます。
Linuxインターフェイスに接続すると、ソースファイルをすばやく削除する競合状態やスクリプトに脆弱ではないため、タスクがinotify欠落しません。
あなたが見つけたものを教えてください。知りたいです。