A
私のファイアウォールは、私のUbuntu Webサーバーがマルウェアに関連していると思われるドメインに記録的なDNS要求を出すようにマークしました。.su
tcpdump
ドメイン要求が再び表示されるまで数日間、サーバーのポート53でこれを実行し(ダウンストリームファイアウォールが実際のURLを記録していないため)、実際のドメインが要求されました。確認してみると、いくつかのRBLにありますが、私のサーバーでこれらの特定のDNSクエリを実行しているものが何であるかを知りたいと思います。
デスクトップ環境ではなく、コマンドラインUbuntu Serverです。ISPConfig
主にデフォルトのWebサーバーとして実行されるため、要求はインストールされているすべてのエントリから来ることができます。おそらく、OSやコンポーネントが所有者のアップデートサーバーに接続しようとすると、着信メールなどを見つけることができます。しかし、これはそのドメインに対する要求NS
だけA
を記録するだけで、何も記録しませんMX
...TXT
本当に迷惑です。
ドメインを見つけるためにBindを呼び出すプロセスを見つける方法を知っていますか?
ベストアンサー1
iptables
これは粗雑ですが、パケットを監視し、lsof
照会しているポートで何が使用されているかを見つけるために使用できます。
基本的には次のようになります。
iptables -I OUTPUT -p UDP --dport 53 -m string --algo bm --string foobar.su -j LOG --log-uid --log-prefix FOOBAR_MATCH
journalctl -t kernel -f | perl -ne '/FOOBAR_MATCH/ && /SPT=(\d+)/ && system("lsof -i udp:$1")'
^foobar.su
見ている内容に変更してください。
システムでIPv6が有効になっている場合は、iptables
コマンドを実行して再実行する必要がありますip6tables
。
完了したら、iptables
コマンドを再実行しますが、代わりに-D
ルール-I
を削除してください。
--log-uid
ルールについてはオプションです。何らかの理由でプロセスをキャプチャできないiptables
場合に備えて含めましたが、潜在的に有用な情報を収集できます。lsof
リクエストを削除するには、別の iptables ルールを追加する必要があるかもしれません。そうしないと、アプリケーションは応答を受け取り、すぐに消えてしまい、lsof
これをキャッチできません。