所以我收到了对我的一台运行 Debian 6.0 的专用服务器的滥用投诉
果然,有时会无缘无故地top显示/usr/bin/host使用大量 CPU,而 netstat 显示进程host执行了大量 HTTP 请求。
过了一会儿,我的系统日志甚至说nf_conntrack: table full, dropping packet.,我认为这与此事有关。
我已经/usr/bin/host使用 debsums验证了可执行文件,并且似乎也很好。服务器本身也是 100% 更新的。
所以我猜测有什么东西在以某种方式调用我的host可执行文件并强制它为某些 DDoS 执行 HTTP 请求。
我当然可以简单地编写一个脚本来host在发生这种情况时立即将其杀死,但我真的很想知道问题的根源。
我正在检查 Apache 日志中host是否有开始执行请求时有趣的条目,但还没有找到任何内容。
任何人都对其他事情有什么建议?我怎样才能看到谁和什么叫做“主机”?谷歌/usr/bin/host根本没有显示任何被滥用的例子!
辅助键
应该向您显示运行该进程的用户和完整的命令行。您可能会找到更多信息
lsof | grep pid
这将向您显示任何进程打开的文件,包括库、终端等。
另请检查 /proc/ pid中的文件。(/proc/ pid /environ、/proc/ pid /cmdline、/proc/ pid /status):
人进程
但如果你怀疑有一些恶意的花招,你就不能真正相信这些事情。我会备份重要数据并验证其完整性。如果您真的不想擦除驱动器,那么至少将其脱机以添加磁盘进行分析,或使用 liveCD 挂载它并检查 md5、运行扫描等。
| 归档时间: |
|
| 查看次数: |
10690 次 |
| 最近记录: |