题 / usr / bin / host在Debian上的HTTP DDoS中使用? [重复]


这个问题在这里已有答案:

所以我收到了一个关于运行Debian 6.0的专用服务器的滥用投诉

果然,有时, top 节目 /usr/bin/host 没有明显原因使用大量的CPU,netstat显示进程 host 做了很多HTTP请求。

过了一会儿,我的系统日志甚至说 nf_conntrack: table full, dropping packet.我认为这与此事有关。

我已经验证了可执行文件 /usr/bin/host 使用debsums,似乎也很好。这样的服务器也是100%更新的。

所以我猜是某种东西在某种程度上叫我的 host 可执行文件并强制它为某些DDoS执行HTTP请求。

我当然可以简单地将一个脚本破解为killall host 一旦发生这种情况,我真的想知道问题的根源。

我正在检查Apache日志中的有趣条目 host 开始做它的请求,但还没有找到任何东西。

任何人都有关于还有什么要做的建议?我怎样才能看到谁叫什么叫'主持人'? 谷歌没有出现任何例子 /usr/bin/host 被虐待了!


6
2017-11-13 18:31




主机用于解析DNS,它根本不应该发出HTTP请求。也许正在进行攻击的二进制文件具有欺骗性的名称。我不相信本地机器上的任何文件完整性检查,如果机器被泄露,它们可能会存在。 - Cory J
我做了'updatedb'和'找到主机',唯一名为'host'的文件是/ usr / bin / host。 debsums是新安装的。 apt的签名似乎也没问题。 - Moritz von Schweinitz
找到可以打补丁。 debsums可以打补丁。可以运行二进制文件并将其加载到内存中,然后从文件系统中删除。 - Cory J
“请记住,如果计算机遭到入侵,该系统上的任何内容都可能已被修改,包括内核,二进制文件,数据文件,正在运行的进程和内存。通常,唯一可以相信计算机没有后门程序的方法入侵者修改是重新安装操作系统。“ - CERT - David Schwartz
可能会迟到,但我最终会遇到同样的情况。事实证明与这篇文章完全相同: forums.cpanel.net/threads/... (TL; DR:Wordpress妥协)。 - chilladx


答案:


ps aux

应该向您显示运行该进程的用户和完整的命令行。您可以找到更多信息

lsof | grep的 PID

这将向您显示打开文件的任何进程,包括库,终端等。

还要检查/ proc /中的文件PID。 (/ PROC /PID/ environ,/ proc /PID/ cmdline,/ proc /PID/状态):

男人过程

但是,如果你怀疑某些恶意手淫,那么你真的不相信任何这些东西。我将备份重要数据并验证其完整性。如果您真的不想擦除驱动器,那么至少将其脱机以对磁盘进行分析,或使用liveCD进行安装并检查md5s,运行扫描等。


3
2017-11-13 20:50



所以'主机'进程作为www-data运行,而lsof命令向我展示了应该为麻烦而烦恼的wordpress安装。更新并清理干净,现在一切恢复正常。 - Moritz von Schweinitz
这里有更详细的解释 serverfault.com/questions/705217/... - Marki555