Meu provedor de VPS suspendeu recentemente minha conta por "participar de um ataque DoS". Como naturalmente não fiz isso, só posso presumir que foi uma violação de segurança e agora estou investigando o que poderia ter acontecido. Curiosamente, toda a minha / partição está cheia de /var/log/syslog (23 gigabytes de logs, para ser preciso), quase exclusivamente contendo variações nas três linhas seguintes:
Jul 18 21:24:47 <host> avahi-daemon[<pid>]: Withdrawing workstation service for vnet<increasing number>.
Aug 2 16:58:35 <host> avahi-daemon[<pid>]: Registering new address record for <ipv4 or ipv6 address> on eth0.*.
Aug 2 16:58:35 <host> avahi-daemon[<pid>]: Withdrawing address record for <ipv4 or ipv6 address> on eth0.
Essas entradas estão aparecendo por um bom tempo, com um intervalo de cerca de cinco linhas em uma hora e meia. No entanto, começando em torno do final de julho (infelizmente, devido ao grande volume do arquivo de log não consigo obter a data exata), a primeira mensagem pára de aparecer e a taxa aumenta drasticamente para várias dezenas de linhas por segundo. /var/log/messages também contém cerca de 100 megabytes de "descartar mensagens desse processo de avahi devido à limitação de taxa".
O VPS é uma coisa baseada no Linux vServer, rodando o Debian estável em 32 bits.
O que pode estar causando isso?
Tags networking debian vps linux