Итак, я получил жалобу на злоупотребление одним из моих выделенных серверов, на котором работает Debian 6.0.
Конечно, иногда top
показывает /usr/bin/host
использование большого количества ЦП без видимой причины, а netstat показывает процесс host
выполняет много HTTP-запросов.
Через некоторое время мой системный журнал даже говорит nf_conntrack: table full, dropping packet.
, что, как я полагаю, как-то связано с этим вопросом.
Я проверил исполняемый файл /usr/bin/host
с использованием дебсумов, и это тоже, кажется, нормально. Сервер как таковой тоже обновлен на 100%.
Итак, я предполагаю, что что-то как-то зовет меня host
исполняемый файл и вынуждает его выполнять HTTP-запросы для некоторых DDoS-атак.
Конечно, я мог бы просто собрать скрипт, чтобы убить всех host
как только это произойдет, но мне очень хотелось бы знать, откуда возникла проблема.
Я проверяю журналы Apache на предмет интересных записей примерно в то время, когда host
начинает выполнять свой запрос, но пока ничего не нашел.
У кого-нибудь есть рекомендации, что еще делать? Как я могу увидеть, кто и что называется «хозяином»? Google не обнаружил примеров /usr/bin/host
подвергались насилию!
ps aux
Должен показать вам пользователя, выполняющего процесс, и полную командную строку. Вы можете найти больше информации с
lsof | grep пид
Это покажет вам любой из открытых файлов процессов, включая библиотеки, терминалы и т. Д.
Также проверьте файлы в / proc /пид. (/ proc /пид/ Environment, / proc /пид/ cmdline, / proc /пид/положение дел):
мужик
Но если вы подозреваете какой-то злобный носовой платок, вы не можете доверять ни одному из этих вещей. Я бы делал резервные копии важных данных и проверял их целостность. Если вы ДЕЙСТВИТЕЛЬНО не хотите стирать диск, то, по крайней мере, отключите его, чтобы записать диск для анализа, или используйте liveCD, чтобы смонтировать его и проверить md5s, запустить сканирование и т. Д.