/ usr / bin / host在Debian的HTTP DDoS中使用?

所以我得到了一个运行Debian 6.0的专用服务器的滥用投诉

果然,有时候, top显示/usr/bin/host使用大量的CPU没有明显的原因,而netstat显示进程host做了很多的HTTP请求。

之后,我的系统日志甚至说nf_conntrack: table full, dropping packet. ,我认为这件事情有关。

我已经使用debsumsvalidation了可执行文件/usr/bin/host ,似乎也很好。 这样的服务器也是100%更新的。

所以我猜测某事是不知何故调用我的host可执行文件,强迫它做一些DDoS的HTTP请求。

我当然可以在发生这种情况的时候尽快把脚本一起发送给killall host ,但是我真的很想知道问题出在哪里。

我正在检查Apache日志有趣的条目, host开始做它的请求,但还没有发现任何东西。

任何人都有build议,还有什么要做? 我怎样才能看到谁和什么叫'主机'? Google没有显示任何/usr/bin/host被滥用的例子!

ps aux

应该向您显示运行该进程的用户和完整的命令行。 你可能会发现更多的信息

lsof | grep pid

这将显示任何进程打开的文件,包括库,terminal等

还要检查/ proc / pid中的文件。 (/ proc / pid / environ,/ proc / pid / cmdline,/ proc / pid / status):

man proc

但如果你怀疑有些恶意的手帕,你不能真正相信这些事情。 我会备份重要数据并validation其完整性。 如果你真的不想擦除驱动器,那么至less要把它挂在脱机盘上进行分析,或者使用liveCD来安装它,然后检查md5s,运行扫描等。