私のアプリケーション サーバーでは、毎日午前 1 時に 1 つのフォルダーからいくつかのファイルが削除されます。crontab.wms ファイルを確認しましたが、午前 1 時に実行されるスクリプトはありません。ファイルを削除しているスクリプトを見つける方法。
質問する
392 次
1 に答える
1
午前 1 時ちょうどに cron が疑われますが、プロセスは他の場所 (init など) から起動できます。また、ディレクトリを別の場所にマウントできる場合は、サーバーがファイルを削除していない可能性があります。マルウェアがこれを引き起こしている場合、プロセスの起源が意図的に隠されている可能性があります。ファイルの場所とファイルの内容に関する情報は、有用な手がかりになる可能性があります。
ps -aef を数秒間繰り返し実行すると、原因が明らかになる場合があります。午前 1 時前に開始するまでの間、スリープせずに何百回も実行しました。調べるプロセスがたくさんある可能性があります。
これを繰り返し実行することもできます:
/usr/sbin/lsof +d <fullNameOfTheDirectory>
特定のディレクトリ (またはディレクトリ内のファイル) を開いたプロセスを一覧表示します。これにより、より簡潔なリストが得られる可能性がありますが、プロセスがディレクトリを使用しているときに正確に調査できるという幸運が必要です。何晩も試す必要があり、ps と lsof の両方が必要になる場合があります。
ファイルが root に属していない場合は、午前 1 時より前に root を chown できます。削除が成功した場合、プロセスがルートであることがわかります。
削除があなたを台無しにしていると思います。ファイルがかなり静的であると仮定すると、午前 1 時より前にファイルをアーカイブし、行方不明になったときに復元できます。または、書き込み権限を数分間削除して、プロセスが妨げられるかどうかを確認することもできます (ディレクトリへのアクセスは引き続き表示されます)。これらはクラッジですが、実際に解決できるまでパッチを当てることができます.
于 2013-09-25T14:30:51.323 に答える