我收到了针对我的一台运行 Debian 6.0 的专用服务器的滥用投诉
果然,有时候会无缘无故地top显示/usr/bin/host使用了大量 CPU,并且 netstat 显示进程host正在执行大量 HTTP 请求。
过了一会儿,我的系统日志甚至显示nf_conntrack: table full, dropping packet.,我认为这与此事有关。
我已经使用 debsums 验证了可执行文件/usr/bin/host,看起来也没什么问题。服务器本身也已 100% 更新。
所以我猜测有什么东西以某种方式调用了我的host可执行文件并强迫它对某些 DDoS 执行 HTTP 请求。
host当然,一旦发生这种情况,我可以简单地编写一个脚本来 killall ,但我真的很想知道问题出在哪里。
我正在检查 Apache 日志,寻找开始执行请求时的一些有趣条目host,但还没有发现任何东西。
有人能推荐一下还有什么办法吗?我怎么才能看到谁和什么叫“主机”?谷歌/usr/bin/host根本没有显示任何被滥用的例子!
答案1
辅助
应该会显示正在运行该进程的用户和完整的命令行。您可以使用
lsof | grep进程号
这将向您显示任何进程打开的文件,包括库、终端等。
还请检查 /proc/ 中的文件进程号. (/proc/进程号/环境,/proc/进程号/命令行,/proc/进程号/地位):
进程管理器
但如果你怀疑有恶意行为,你就不能真正相信这些东西。我会备份重要数据并验证其完整性。如果你真的不想擦除驱动器,那么至少要将其脱机以 dd 磁盘进行分析,或者使用 liveCD 将其安装并检查 md5、运行扫描等。