そのため、Debian 6.0を実行している専用サーバーの1つで不正使用の苦情を受けました
案の定、top
は明らかな理由もなく多くのCPUを使用している/usr/bin/Host
を示し、netstatはプロセスHost
が多くのHTTPリクエストを実行していることを示します。
しばらくすると、syslogにnf_conntrack: table full, dropping packet.
と表示されますが、これはこの問題と関係があると思います。
実行可能ファイル/usr/bin/Host
をdebsumsを使用して確認しましたが、これも問題ないようです。サーバー自体も100%更新されています。
したがって、何かが何らかの形でHost
実行可能ファイルを呼び出し、一部のDDoSに対してHTTP要求を実行するように強制していると思います。
もちろん、これが発生したらすぐにスクリプトをハッキングしてHost
をkillallすることもできますが、問題がどこから発生したのかを知りたいです。
Host
がリクエストを開始し始めた頃に、Apacheログで興味深いエントリを探していますが、まだ何も見つかりません。
誰か他に何をすべきかについての勧告がありますか? 「ホスト」と呼ばれる人と名前を確認するにはどうすればよいですか? Googleは、/usr/bin/Host
が悪用された例をまったく表示していません。
ps aux
プロセスを実行しているユーザーと完全なコマンドラインが表示されます。あなたはでより多くの情報を見つけるかもしれません
lsof | grep pid
これにより、ライブラリ、ターミナルなど、プロセスがファイルを開いていることが表示されます。
/ proc/pidのファイルも確認してください。 (/ proc/pid/environ、/ proc/pid/cmdline、/ proc/pid/status):
man proc
しかし、悪意のある厄介なことが疑われる場合は、これらのことを本当に信頼することはできません。私は重要なデータをバックアップし、その整合性を検証しています。ドライブを完全に消去したくない場合は、少なくともドライブをオフラインにして分析用にディスクをddするか、liveCDを使用してマウントし、md5sをチェックしてスキャンを実行します。