目前,守护进程运行如下:
sshd的
Nginx的
后缀
达夫科特
PHP5-fpm(仅限localhost)
spampd(仅限localhost)
clamsmtpd(仅限localhost)
鉴于服务器是100%重建的,我找不到任何针对上述守护进程的严重漏洞,密码已经改变,ssh密钥甚至不存在于重建等等……这似乎不太可能是正在用于DoS地址的折衷方案.
提供的IP在线标注为已知的SPAM源.我最初的假设是它试图使用我的后缀服务器作为中继,并且它提供的虚假地址是那些注册为其名称服务器的IP的域.我想,鉴于我的postfix配置,对SPF信息之类的东西的DNS查询的数量将等于或大于发送的垃圾邮件发送数量.
linode和6Sync都表示出站流量非常不成比例.以下是我从linode收到的有关出站流量的所有信息:
21:28:28.647263 IP 97.107.134.33.32775 > 31.193.132.138.53: 28720 op8+% [b2&3=0x4134] [17267a] [30550q] [28773n] [14673au][|domain]21:28:28.647264 IP 97.107.134.33 > 31.193.132.138: udp21:28:28.647264 IP 97.107.134.33.32775 > 31.193.132.138.53: 28720 op8+% [b2&3=0x4134] [17267a] [30550q] [28773n] [14673au][|domain]21:28:28.647265 IP 97.107.134.33 > 31.193.132.138: udp21:28:28.647265 IP 97.107.134.33.32775 > 31.193.132.138.53: 28720 op8+% [b2&3=0x4134] [17267a] [30550q] [28773n] [14673au][|domain]21:28:28.647266 IP 97.107.134.33 > 31.193.132.138: udp
6sync无法确认最近出站流量的峰值是否是相同的IP或DNS,但我已经假定为这样.现在我的服务器正在阻止整个31.0.0.0/8子网,以帮助我解决这个问题.
任何人都知道发生了什么事吗?
解决方法 不是答案,只是一些随意的想法:>当你在[虚拟]网络接口上运行tcpdump时,你能看到这种流量吗?如果是这样 – 你能否试着弄清楚是否有每日/每小时模式?您可以创建iptables规则来计算流量,然后允许munin plugin收集统计数据.
>您可以尝试确定哪个应用正在生成此流量?我在这里看到两种方法:
>残酷的方法是等到流量显示并开始一个接一个地杀死应用程序.
>温和的方法 – 在OUTPUT链上使用iptables,在端口53上使用owner match到log输出数据包到syslog.类似于:iptables -I OUTPUT -p udp –dport 53 –match owner –uID-owner 33 -j LOG –log-prefix“uID 33”应用于所有使用过的uID.检查syslog以查看哪个进程生成了不需要的流量.
>你有本地DNS服务器[例如绑定]运行?如果是这样:
>还可以在环回上嗅探,看看哪些应用可能会发送导致不需要的流量的请求.
>外部服务器可以与您的DNS服务器通信吗?如果是这样 – 也许这是某种反向散射攻击,你的服务器从欺骗性地址接收数据包并响应轰炸受害者.
>你有110%确定你的PHP代码没有改变?可能是你的一些脚本包含很少的恶意行?
总结以上是内存溢出为你收集整理的domain-name-system – 过多的出站DNS流量全部内容,希望文章能够帮你解决domain-name-system – 过多的出站DNS流量所遇到的程序开发问题。
如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)