所以我得到了一个运行Debian 6.0的专用服务器的滥用投诉
果然,有时候, top
显示/usr/bin/host
使用大量的CPU没有明显的原因,而netstat显示进程host
做了很多的HTTP请求。
之后,我的系统日志甚至说nf_conntrack: table full, dropping packet.
,我认为这件事情有关。
我已经使用debsumsvalidation了可执行文件/usr/bin/host
,似乎也很好。 这样的服务器也是100%更新的。
所以我猜测某事是不知何故调用我的host
可执行文件,强迫它做一些DDoS的HTTP请求。
我当然可以在发生这种情况的时候尽快把脚本一起发送给killall host
,但是我真的很想知道问题出在哪里。
我正在检查Apache日志有趣的条目, host
开始做它的请求,但还没有发现任何东西。
任何人都有build议,还有什么要做? 我怎样才能看到谁和什么叫'主机'? Google没有显示任何/usr/bin/host
被滥用的例子!
ps aux
应该向您显示运行该进程的用户和完整的命令行。 你可能会发现更多的信息
lsof | grep pid
这将显示任何进程打开的文件,包括库,terminal等
还要检查/ proc / pid中的文件。 (/ proc / pid / environ,/ proc / pid / cmdline,/ proc / pid / status):
man proc
但如果你怀疑有些恶意的手帕,你不能真正相信这些事情。 我会备份重要数据并validation其完整性。 如果你真的不想擦除驱动器,那么至less要把它挂在脱机盘上进行分析,或者使用liveCD来安装它,然后检查md5s,运行扫描等。