cronの設定が消える

普通ではありえそうも無い現象があり、
調べても知識不足の為分からず、質問する事にしました。

redhat9のサーバーを運営していますが、突然cronが動作せず、
調べたところ、設定ファイルが0バイトになっていました。

cronのログを調べたところ、
0バイトのファイルのタイムスタンプとほぼ同時刻に、
REPLACEとRELOADがログに出力されていました。

特に設定を変更する操作もしておらず、
サーバーへのアクセスもｓｓｈによるファイルのアップのみです。

通常では考えられない症状ですが、
この様な事は起こりうるのでしょうか？

ご存知の方がいらっしゃいましたらお教えください。
一応報告義務があるので急ぎです。

No.2 回答者： Wr5 回答日時： 2007/11/02 00:09

> cronのログを調べたところ、

> 0バイトのファイルのタイムスタンプとほぼ同時刻に、
> REPLACEとRELOADがログに出力されていました。

その時刻に自分で何かやった記憶がないのであれば、
クラッキングされた可能性も考えた方がよいかと。
Redhat系ならば、cronでLogWatchが動作している可能性が高いので、
攻撃者がログレポートを阻む目的でcrontabを破壊した可能性もあり得ます。
# もっともその場合、ログレポートのメールが届かないので気付くと思いますが。
## なお、一般ユーザーでcrontab -eしていたヤツを誤操作で消してしまったことはあるけど。
## 以後一般ユーザーでcrontab -eで変更したら、crontab -lでバックアップを取るようにしました…

この回答への補足

返事が送れてすみません。
設定が消えたと思われる同時刻にコマンドのヒストリーでcrontab -eがありました。
また、同時に/tmpにバックアップができていました。

今までは、またその後も、crontab -eで編集してcrontab -lで確認しても、/tmpにバックアップが作成された事はありませんでした。

/tmpにバックアップができたことから何か原因はつかめないのでしょうか？

「crontab -eしていたヤツを誤操作で消してしまった」との事ですが、
具体的にはどのようなものでしょうか？

お答えいただけると幸いです。

補足日時：2007/11/07 00:18

No.1 回答者： uki629 回答日時： 2007/11/01 14:37

特に何もしてないとかなら

最悪な状態として考えられるのがクラッキングによる改変。