Como localizo um processo no Debian Linux que está criando uma grande quantidade de tráfego de rede? [duplicado]

2

Nós temos um servidor Linux (Debian) remoto, que aparentemente está sendo usado como uma plataforma para cometer um ataque DoS. Fomos avisados pela empresa que hospeda nosso servidor que temos uma grande quantidade de tráfego de saída desse servidor.

O que eu quero saber é: como posso acompanhar e, eventualmente, matar o processo que está causando essa grande quantidade de tráfego?

Eu brinquei com algo assim antes, mas foi há um tempo atrás e acho que lembro de usar 'lsof' para acompanhar o processo. No entanto, o lsof não está instalado neste servidor e, nunca tendo instalado nada no Linux antes, não sei como instalá-lo.

Eu apreciaria qualquer conselho ou orientação sobre este assunto, mas a questão principal é basicamente como eu monitoro o processo malicioso?

    
por bobble14988 06.10.2011 / 01:17

2 respostas

2

Bem, honestamente, se você não tiver certeza de como instalar o software em seu sistema, considere contratar alguém para cuidar disso para você. O rastreamento de malware como esse pode ser bastante complicado, e muitas vezes tenta se esconder como um processo legítimo.

Além disso, você precisa localizar o buraco através do qual o software foi instalado, o que é outra questão. Isso provavelmente significa que você precisa proteger seu software / máquina um pouco mais.

Se você ainda quiser tentar isso sozinho, sugiro fechar todos os serviços legítimos que você conhece e ver o que resta. Talvez cheque a saída de 'netstat -anp', isso deve te dar o ID do processo de qualquer coisa usando a rede.

Também é possível que alguém tenha carregado uma ferramenta do DOS em PHP e esteja atacando por meio disso. Se esse for o caso, você precisará examinar todos os diretórios da web. Uma ferramenta como a maldet pode ajudar você. Se este for o caso, o ataque parece estar vindo do seu processo legítimo do Apache.

    
por 06.10.2011 / 01:47
1

Para o caso geral, nethogs é ótimo para visualizar o uso de largura de banda por processo. Para o seu caso específico, siga o conselho do devicenull.

    
por 06.10.2011 / 08:08