/ usr / bin / host sendo usado em HTTP DDoS no Debian? [duplicado]

Question

/ usr / bin / host sendo usado em HTTP DDoS no Debian? [duplicado]

#1 resposta do (3 votos)

6

Então recebi uma reclamação de abuso para um dos meus servidores dedicados, executando o Debian 6.0

Com certeza, às vezes, top mostra /usr/bin/host usando muita CPU sem motivo aparente e o netstat mostra o processo host fazendo muitas solicitações HTTP.

Depois de um tempo, meu syslog até diz nf_conntrack: table full, dropping packet. , o que eu suponho ter algo a ver com esse assunto.

Eu verifiquei o executável /usr/bin/host usando debsums, e parece estar bem também. O servidor como tal é 100% atualizado também.

Então eu estou supondo que algo está chamando meu executável host e forçando-o a fazer solicitações HTTP para algum DDoS.

Eu poderia simplesmente hackear um script para killall host assim que isso estivesse acontecendo, mas eu realmente gostaria de saber de onde o problema se origina.

Estou verificando os registros do Apache em busca de entradas interessantes quando o host está começando a fazer suas solicitações, mas ainda não encontrou nada.

Alguém tem uma recomendação sobre o que mais fazer? Como posso ver quem e o que é chamado 'host'? O Google não mostrou nenhum exemplo de /usr/bin/host sendo abusada!

bind ddos abuse

por Moritz von Schweinitz 13.11.2013 / 19:31

1 resposta

Tags bind ddos abuse

Dois domínios, dois certificados SSL, um IP Suporte para tokens de atualização no fluxo do OAuth do ADFS 2.2

score 3 · Answer 1

ps aux

Deve mostrar o usuário que está executando o processo e a linha de comando completa. Você pode encontrar mais informações com

lsof | grep pid

Isso mostrará qualquer um dos processos de arquivos abertos, incluindo bibliotecas, terminais, etc.

Verifique também os arquivos em / proc / pid . (/ proc / pid / environ, / proc / pid / cmdline, / proc / pid / status):

man proc

Mas se você suspeitar de alguma trapaça mal-intencionada, não pode confiar em nenhuma dessas coisas. Eu estaria fazendo backup de dados importantes e verificando sua integridade. Se você realmente não deseja limpar a unidade, pelo menos, levá-lo off-line para dd o disco para análise, ou usar um liveCD para montá-lo e verificar md5s, executar varreduras, etc.