濫用流量DNS服務器

Question

我的服務器已經攔截到NETADMIN由以下原因

「我們看到從你的機器到我們的DNS服務器辱罵交通「linksys.secureshellz.net」產生的請求。這是產生許多請求「linksys.secureshellz.net」的DNS請求。請參閱下面的示例流量。「

示例流量：

2014-05-27 
Time (PDT)  Source    Destination   Protocol-Info 
12:11:51.124767 164.67.194.217  128.97.10.2   DNS  Standard query 0x1de7 A linksys.secureshellz.net 
12:11:51.125005 128.97.10.2   164.67.194.217  DNS  Standard query response 0x1de7 No such name 
12:11:51.125216 164.67.194.217  128.97.10.2   DNS  Standard query 0xe1a2 A linksys.secureshellz.net 
12:11:51.125456 128.97.10.2   164.67.194.217  DNS  Standard query response 0xe1a2 No such name 
12:11:51.125635 164.67.194.217  128.97.10.2   DNS  Standard query 0x415c A linksys.secureshellz.net 
12:11:51.125908 128.97.10.2   164.67.194.217  DNS  Standard query response 0x415c No such name 
12:11:51.126115 164.67.194.217  128.97.10.2   DNS  Standard query 0x8413 A linksys.secureshellz.net 
12:11:51.126429 128.97.10.2   164.67.194.217  DNS  Standard query response 0x8413 No such name 
12:11:51.126608 164.67.194.217  128.97.10.2   DNS  Standard query 0xb2c8 A linksys.secureshellz.net 
12:11:51.126760 128.97.10.2   164.67.194.217  DNS  Standard query response 0xb2c8 No such name 
12:11:51.126962 164.67.194.217  128.97.10.2   DNS  Standard query 0x4a7b A linksys.secureshellz.net 
12:11:51.127214 128.97.10.2   164.67.194.217  DNS  Standard query response 0x4a7b No such name 

我不知道發生了什麼事情，我試圖命令crontab -l但一無所獲計劃下載腳本或者類似的東西。現在我正在做的就像在整個機器上用命令grep -r "secureshellz" /搜索關鍵詞「secureshellz」，並且已經搜索了20分鐘，但什麼都沒找到。

我完全沒有計算機安全問題的經驗，所以有人可以幫我嗎？

Answer 1

首先確定它是從您的機器生成的 - fire wireshark（將「dns」作爲過濾器）然後檢查流量。

查找過程中產生的UDP數據報

安裝AUDITCTL

• • apt-get install auditctl

插入一個規則來過濾系統調用socket

• • auditctl -a exit,always -F arch=b64 -F a0=2 -F a1=2 -S socket -k SOCKET

搜索過程PID

• • ausearch -i -ts today -k SOCKET

對於每個進程ausearch確定認準一個產生 惡意查詢

- strace -p $YOURPID -f -e trace=network -o trace_$YOURPID

ÿ ou可能想要終止進程並刪除所有與 相關的文件，然後找出你是否感染了病毒，並修補系統，如果需要的話。

BTW：送我MALEWARE我喜歡逆向工程IT ...：d