最近我发现我的服务器产生的流量比平时多得多。
通常我每天获得大约 1-10 Mb,因为该服务器仅用作电子邮件和静态网站的主机。
然而,在过去三天里,它每天产生超过 200 Mb 的数据。
虽然我还没有完全弄清楚问题所在,但以下内容对我来说似乎非常可疑。
从控制台运行 tshark 时,我会收到如下连续请求:
19.825601 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
19.831944 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
19.842562 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt409.tekjeton.com
19.844480 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
19.846354 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt9.triton1337.net
19.846561 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt9.triton1337.net
19.848314 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt409.tekjeton.com
19.851613 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
19.851625 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt9.triton1337.net
19.852715 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt409.tekjeton.com
19.854063 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt9.triton1337.net
19.866565 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
19.866582 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt409.tekjeton.com
19.870774 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
尽管我知道 TXT 基本上是什么,但这对我来说没有任何意义。
当我读取 DNS TXT 记录时,它只包含对我来说毫无意义的数据。
问题是:
你们知道这里的 TXT 数据是什么意思吗?你能告诉我这里的一般危险潜力是什么吗?也许我的服务器被入侵了,这些查询有更深层的含义,或者是另一个问题的前兆?话虽如此,我在机器上运行了一个虚拟 DNS 服务器,它总是提供静态响应(类似于 OpenDNS 的 NX-Domain 回退)。
到目前为止,我已经关闭了该进程并通过 iptables 阻止了该 IP。但是,请求仍然显示在 tshark 中,我认为这是因为 tshark 捕获数据包的级别。