Возможный дубликат:
Мой сервер был взломан в АВАРИИ
У нас есть удаленный сервер Linux (Debian), который, по всей видимости, используется как платформа для совершения DoS-атаки. Компания, на которой размещен наш сервер, предупредила нас о том, что с этого сервера идет большой объем исходящего трафика.
Я хочу знать: как я могу отследить и, в конечном итоге, остановить процесс, вызывающий такой большой объем трафика?
Я играл с чем-то подобным раньше, но это было некоторое время назад, и я думаю, что помню, как использовал lsof для отслеживания процесса. Однако lsof не установлен на этом сервере, и, поскольку я никогда раньше ничего не устанавливал в Linux, я действительно не знаю, как его установить.
Я был бы признателен за любой совет или руководство по этому вопросу, но главный вопрос в основном заключается в том, как мне отслеживать вредоносный процесс?
Что ж, честно говоря, если вы не знаете, как установить программное обеспечение в своей системе, вы можете подумать о том, чтобы нанять кого-то, кто позаботится об этом за вас. Отследить подобное вредоносное ПО может быть довольно сложно, оно часто пытается скрыться как законный процесс.
Кроме того, вам необходимо найти дыру, через которую было установлено программное обеспечение, что совсем другое дело. Это, вероятно, означает, что вам нужно немного больше защитить свое программное обеспечение / машину.
Если вы все еще хотите попробовать это самостоятельно, я бы предложил закрыть все законные службы, о которых вы знаете, и посмотреть, что осталось. Возможно, проверьте вывод netstat -anp, это должно дать вам идентификатор процесса для чего-либо, использующего сеть.
Также возможно, что кто-то загрузил инструмент PHP DOS и атакует через него. Если это так, вам нужно будет проверить все свои веб-каталоги. Вам может помочь такой инструмент, как мальдет. Если это так, похоже, что атака исходит от вашего законного процесса Apache.
В общем случае nethogs отлично подходит для просмотра использования полосы пропускания процессами. В вашем конкретном случае воспользуйтесь советом devicenull.