web-dev-qa-db-ja.com

/ usr / bin / HostはDebianのHTTP DDoSで使用されていますか?

そのため、Debian 6.0を実行している専用サーバーの1つで不正使用の苦情を受けました

案の定、topは明らかな理由もなく多くのCPUを使用している/usr/bin/Hostを示し、netstatはプロセスHostが多くのHTTPリクエストを実行していることを示します。

しばらくすると、syslogにnf_conntrack: table full, dropping packet.と表示されますが、これはこの問題と関係があると思います。

実行可能ファイル/usr/bin/Hostをdebsumsを使用して確認しましたが、これも問題ないようです。サーバー自体も100%更新されています。

したがって、何かが何らかの形でHost実行可能ファイルを呼び出し、一部のDDoSに対してHTTP要求を実行するように強制していると思います。

もちろん、これが発生したらすぐにスクリプトをハッキングしてHostをkillallすることもできますが、問題がどこから発生したのかを知りたいです。

Hostがリクエストを開始し始めた頃に、Apacheログで興味深いエントリを探していますが、まだ何も見つかりません。

誰か他に何をすべきかについての勧告がありますか? 「ホスト」と呼ばれる人と名前を確認するにはどうすればよいですか? Googleは、/usr/bin/Hostが悪用された例をまったく表示していません。

ps aux

プロセスを実行しているユーザーと完全なコマンドラインが表示されます。あなたはでより多くの情報を見つけるかもしれません

lsof | grep pid

これにより、ライブラリ、ターミナルなど、プロセスがファイルを開いていることが表示されます。

/ proc/pidのファイルも確認してください。 (/ proc/pid/environ、/ proc/pid/cmdline、/ proc/pid/status):

man proc

しかし、悪意のある厄介なことが疑われる場合は、これらのことを本当に信頼することはできません。私は重要なデータをバックアップし、その整合性を検証しています。ドライブを完全に消去したくない場合は、少なくともドライブをオフラインにして分析用にディスクをddするか、liveCDを使用してマウントし、md5sをチェックしてスキャンを実行します。

3
Cory J