A私のファイアウォールは、私のUbuntu Webサーバーがマルウェアに関連していると思われるドメインに記録的なDNS要求を出すようにマークしました。.su
tcpdumpドメイン要求が再び表示されるまで数日間、サーバーのポート53でこれを実行し(ダウンストリームファイアウォールが実際のURLを記録していないため)、実際のドメインが要求されました。確認してみると、いくつかのRBLにありますが、私のサーバーでこれらの特定のDNSクエリを実行しているものが何であるかを知りたいと思います。
デスクトップ環境ではなく、コマンドラインUbuntu Serverです。ISPConfig主にデフォルトのWebサーバーとして実行されるため、要求はインストールされているすべてのエントリから来ることができます。おそらく、OSやコンポーネントが所有者のアップデートサーバーに接続しようとすると、着信メールなどを見つけることができます。しかし、これはそのドメインに対する要求NSだけAを記録するだけで、何も記録しませんMX...TXT本当に迷惑です。
ドメインを見つけるためにBindを呼び出すプロセスを見つける方法を知っていますか?
ベストアンサー1
iptablesこれは粗雑ですが、パケットを監視し、lsof照会しているポートで何が使用されているかを見つけるために使用できます。
基本的には次のようになります。
iptables -I OUTPUT -p UDP --dport 53 -m string --algo bm --string foobar.su -j LOG --log-uid --log-prefix FOOBAR_MATCH
journalctl -t kernel -f | perl -ne '/FOOBAR_MATCH/ && /SPT=(\d+)/ && system("lsof -i udp:$1")'
^foobar.su見ている内容に変更してください。
システムでIPv6が有効になっている場合は、iptablesコマンドを実行して再実行する必要がありますip6tables。
完了したら、iptablesコマンドを再実行しますが、代わりに-Dルール-Iを削除してください。
--log-uidルールについてはオプションです。何らかの理由でプロセスをキャプチャできないiptables場合に備えて含めましたが、潜在的に有用な情報を収集できます。lsof
リクエストを削除するには、別の iptables ルールを追加する必要があるかもしれません。そうしないと、アプリケーションは応答を受け取り、すぐに消えてしまい、lsofこれをキャッチできません。