<div dir="ltr">On Thu, 10 Jan 2019 at 13:17, Jamon Camisso via talk <<a href="mailto:talk@gtalug.org">talk@gtalug.org</a>> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 1/9/19 12:46 PM, Jason Shaw via talk wrote:<br>
> darryl, you should be able to look at yum or apt/dpk histories to see <br>
> if/when cron was updated and possibly gleam some information about <br>
> who/what did it.<br>
> <br>
> for debian and ubuntu : <br>
> <a href="https://serverfault.com/questions/175504/how-do-i-get-the-history-of-apt-get-install-on-ubuntu" rel="noreferrer" target="_blank">https://serverfault.com/questions/175504/how-do-i-get-the-history-of-apt-get-install-on-ubuntu</a> <br>
<snip<br>
> <br>
> Certainly sounds like something automatically updated the cron package <br>
> to me.  Good luck in the forensics.<br>
<br>
Sounds bad on all counts. I'm not aware of any bugs in 16.04 that would <br>
wipe out any crontabs on auto-updates or manual updates. If you're the <br>
lucky person to discover one, it will definitely require an SRU update <br>
to the cron package itself.<br>
<br>
Does anything show up related to cron in /var/log/apt/*.log as Jason <br>
pointed out?<br>
<br>
What about in syslog and auth.log? Anything there that would show <br>
something like 'crontab -r' being invoked?<br>
<br>
Lastly, are you using any config management tool like puppet, chef, <br>
salt, ansible, juju, etc.? My immediate reaction upon reading this is to <br>
cast aspersions at config management - think sorcerer's apprentice and <br>
all that.<br></blockquote><div><br></div><div>Just because you can't control the brooms doesn't mean we can't control the brooms!</div><div><br></div><div>...</div><div><br></div><div>Oh, wait, yeah.  They do some pretty wonky things occasionally.</div><div><br></div><div>I'm forced to acknowledge that you should probably check the brooms if you use them ...  If that's the case though, their traces would still normally show up in the logs previously mentioned.  They would with Ansible anyway.<br></div><div><br></div><div>[for those not following this overstretched metaphor, "brooms" == "config management tools"]<br></div></div><br>-- <br><div dir="ltr" class="gmail_signature">Giles<br><a href="https://www.gilesorr.com/" target="_blank">https://www.gilesorr.com/</a><br><a href="mailto:gilesorr@gmail.com" target="_blank">gilesorr@gmail.com</a></div></div>