/ usr / bin / HostはDebianのHTTP DDoSで使用されていますか?
そのため、Debian 6.0を実行している専用サーバーの1つで不正使用の苦情を受けました
案の定、topは明らかな理由もなく多くのCPUを使用している/usr/bin/Hostを示し、netstatはプロセスHostが多くのHTTPリクエストを実行していることを示します。
しばらくすると、syslogにnf_conntrack: table full, dropping packet.と表示されますが、これはこの問題と関係があると思います。
実行可能ファイル/usr/bin/Hostをdebsumsを使用して確認しましたが、これも問題ないようです。サーバー自体も100%更新されています。
したがって、何かが何らかの形でHost実行可能ファイルを呼び出し、一部のDDoSに対してHTTP要求を実行するように強制していると思います。
もちろん、これが発生したらすぐにスクリプトをハッキングしてHostをkillallすることもできますが、問題がどこから発生したのかを知りたいです。
Hostがリクエストを開始し始めた頃に、Apacheログで興味深いエントリを探していますが、まだ何も見つかりません。
誰か他に何をすべきかについての勧告がありますか? 「ホスト」と呼ばれる人と名前を確認するにはどうすればよいですか? Googleは、/usr/bin/Hostが悪用された例をまったく表示していません。
ps aux
プロセスを実行しているユーザーと完全なコマンドラインが表示されます。あなたはでより多くの情報を見つけるかもしれません
lsof | grep pid
これにより、ライブラリ、ターミナルなど、プロセスがファイルを開いていることが表示されます。
/ proc/pidのファイルも確認してください。 (/ proc/pid/environ、/ proc/pid/cmdline、/ proc/pid/status):
man proc
しかし、悪意のある厄介なことが疑われる場合は、これらのことを本当に信頼することはできません。私は重要なデータをバックアップし、その整合性を検証しています。ドライブを完全に消去したくない場合は、少なくともドライブをオフラインにして分析用にディスクをddするか、liveCDを使用してマウントし、md5sをチェックしてスキャンを実行します。