Мой DNS-сервер под управлением RHEL 6.6 активно отправляет нежелательные DNS-ответы на пару IP-адресов. Под незапрашиваемым я подразумеваю, что нет входящего запроса с внешнего IP-адреса, DNS-сервер, кажется, хочет разговаривать с этим внешним хостом по какой-то причине самостоятельно, и я не могу понять, почему. Netstat показывает исходящие соединения, связанные с указанным процессом. tcpdump подтверждает, что они в основном исходящие. Они выглядят так: (имена хостов в конце соответствуют фактическому tcpdump)
104115 5.888666 <DNS server source IP> <dest IP> DNS 80 Standard query 0xfc38 A chhveu.x99moyu.net
Их очень много: Вот еще один пример:
104012 5.8884459 <DNS server source IP> <dest IP> DNS 106 Standard query 0x688b MX 3636.3335.3338.3737.80h423333324d.host.com
Опять же, тонны этих.
Мне удалось взять это под контроль с помощью iptables. Однако счетчики пакетов увеличиваются быстрыми темпами, поэтому я знаю, что названная служба все еще хочет разговаривать с этим IP. Еще одна странная вещь, которую я заметил, - это установка правила iptables. Я сначала заблокировал IP, используя цепочку INPUT, и продолжал видеть трафик. Затем я добавил IP в цепочку OUTPUT, и входящий запрос, казалось, сразу иссяк, в то время как исходящий запрос продолжал складываться. Поэтому я опасаюсь, что входящий запрос на самом деле был создан исходящим запросом. Вот как выглядят счетчики пакетов в iptables:
Входная цепь:
4 292 DROP all -- any any X.X.X.X/24 anywhere
Выходная цепочка:
41174 4514K DROP all -- any any anywhere x.x.x.x/24
Может ли эта система быть взломана, и если да, могу ли я что-нибудь сделать, чтобы исправить это?