недавно я обнаружил, что мой сервер генерирует намного больше трафика, чем обычно.
Обычно я получаю около 1-10 МБ в день, поскольку сервер работает только как хост для электронной почты и статических веб-сайтов.
Однако за последние три дня он генерирует более 200 Мб в день.
Хотя я точно не понял проблему, следующее кажется мне очень подозрительным.
При запуске tshark с консоли я получаю непрерывные запросы вроде этих:
19.825601 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
19.831944 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
19.842562 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt409.tekjeton.com
19.844480 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
19.846354 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt9.triton1337.net
19.846561 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt9.triton1337.net
19.848314 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt409.tekjeton.com
19.851613 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
19.851625 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt9.triton1337.net
19.852715 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt409.tekjeton.com
19.854063 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt9.triton1337.net
19.866565 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
19.866582 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt409.tekjeton.com
19.870774 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
Хотя я действительно знаю, что такое TXT, для меня это не имеет никакого смысла.
Когда я читаю запись DNS TXT, она просто содержит данные, которые для меня не имеют никакого смысла.
Вопросы такие:
Вы, ребята, знаете, что здесь означают данные TXT. Вы можете сказать мне, каков общий опасный потенциал? Может быть, мой сервер скомпрометирован, и эти запросы имеют более глубокое значение или являются предвестником другой проблемы? Это говорит о том, что у меня был фиктивный DNS-сервер, работающий на машине, который всегда доставлял статический ответ (аналогично откату NX-Domain от OpenDNS).
До сих пор я отключил процесс и заблокировал IP через iptables. Однако запросы по-прежнему отображаются в tshark, что, как мне кажется, связано с уровнем, на котором tshark захватывает пакеты.