Может быть, совпало просто? Крон же по расписанию работает, подошло время, и сожрал что требуется. Теперь до следующего раза.
Нет, замаскировали под крон процесс, темболее пользователя user у нас нету. Получается, нас взломали жестко и зашили куча ненужного хлама. Интересно как? Пароль угадали?
Интересно, что бы это значило? в логах нашел syslog
Удалив пользователя user, сомневаюсь, что получится себя защитить от взлома. Начитавшись ужастиков, про ограничение по iptables, прям страшно становится, но походу надо будет научится на тестовом сервере. 😀
Я бы в PHP прописал php.ini
disable_functions = popen, exec, system, passthru, proc_open, shell_exec,show_source, opcache_get_status, ssh2_connect, ssh2_exec
Чтобы через PHP не смогли перебирать удалённые пароли, но надо специфику проекта вашего знать.
Мистика увеличивается по мере проникновения в сервер.
Активировал disable_functions, почему-то взлетел до 400% использования процессора и куча памяти отожрал процесс cron
Первым делом надо обезвредить, а потом уже разбираться.
iptables -A OUTPUT -j DROP
блокирует все исходящие соединения
Нормально...нет?
Видел, показал им, уверяют что это конкуренты им так занизили.
2 - 3$, бывает и выше стреляет. Но редко или в праздники
За что вас заблокировали?
