Descobrir se meu sistema está sendo usado como um bot olhando ifconfig?

Navegue suas respostas
1

Recentemente, eu suspeito que meu roteador (uma caixa linux) pode ter sido usado como um bot para spam blowout ou algo dessa qualidade porque eu posso ter configurado minhas regras iptables por acidente. (Eu acredito que eles estão consertados agora.)

Olhando para a caixa e tentando descobrir o que pode ter dado errado, uma vez notei que os dados para a quantidade de pacotes recebidos e transmitidos nas interfaces internas (eth0) e externas (eth1, ppp0) às vezes tinham um incompatibilidade grave. O próprio roteador não deve criar nenhum tráfego significativo para o exterior, a menos que eu diga (atualiza usando o apt-get e similares), e os números ligeiramente diferentes na interface interna (eth0) são causados pelo login via ssh. No entanto, nunca deve haver grandes números na interface externa (e não no interno) sob as minhas circunstâncias, certo? Então aqui está a minha pergunta:

Posso saber se meu roteador está sendo usado como um bot olhando para a saída do ifconfig? Os números (pelo menos aproximadamente) devem coincidir com os apresentados aqui?

    
por zebonaut 11.01.2015 / 11:29

1 resposta

2

Eu assumo que esses contadores ( eth0 , eth1 ) se referem aos dados da camada 2. Assim, o tráfego de eth1 seria o tráfego de ppp0 mais a sobrecarga de PPPoE.

Além disso, a transferência Ethernet tem colisões (como mostrado na saída), o tráfego da interface virtual não.

Outra fonte de aumento de tráfego é a manipulação MSS (para TCP). Ou seja o roteador envia pacotes ICMP que não foram enviados pela rede por trás dele.

Se o seu sistema tivesse sido abusado (por spam), as diferenças seriam enormes (se os contadores não tivessem sido adulterados).

    
por 11.01.2015 / 23:01

Tags

Conte o número total de subprocessos (recursivamente) gerados por um comando Obtém arquivos do servidor SFTP e manipula na memória