Fedora Linux продолжает делать DNS-запросы к случайным сайтам
У меня на ноутбуке Fedora 12 Linux, на котором установлены все последние обновления безопасности. Но когда я открываю wireshark и просматриваю только DNS-запросы (добавляя DNS-фильтр), я замечаю, что мой ноутбук продолжает выполнять DNS-запросы к случайным сайтам. Я наблюдал это даже после закрытия всех приложений (браузер, торрент-клиенты и т. Д.)
Это какой-то червь или вирус?:(Как я узнаю, какой процесс отправляет эти DNS-запросы? Как ни странно, только некоторые сайты, которые запрашиваются для DNS, - это те, которые я посетил. Другие сайты - я даже не слышал о них раньше.,
Пробовал запускать lsof -nl | grep udp в цикле внутри скрипта. Это всегда приводит к отсутствию результатов.
Спасибо,
-Keshav
4 ответа
Сайт, который вы не считаете посещенным, может быть просто сервером имен сайтов, которые вы сделали. Например, Superuser фактически находится в центре данных http://www.peak.org/ в сети VLAN. Эти загадочные запросы также могут быть службами в фоновом режиме, такими как ваша система, запрашивающая интернет-сервер времени, а не такими очевидными программами, как ваш торрент-клиент.
Некоторые заметки.
- Все имена, на которые вы ссылаетесь в комментариях
вещи, которые будут связаны с вашим браузером или процессами обновления fedora.- Когда вы запускаете wireshark из автоматической установки Fedora,
это поможет сохранить открытый фильтр захвата для получения всех пакетов.
Это скажет вам, что происходит с сайтом после поиска DNS.
Эта последняя часть будет иметь действительно полезную информацию.
Если используется вредоносное ПО, DNS-поиск будет наименее подозрительным. - В общем (и я, вероятно, высовываю свою шею от этого),
маловероятно, что у вас есть какая-то форма руткита, попавшая в вашу Fedora,
И вы должны найти разумные ответы на основе вышеупомянутых двух пунктов.
Тогда было бы уместно, - удалить
wormа такжеvirusтеги из вашего вопроса - если вы уверены, что это не так. По крайней мере, подумайте над разъяснением вашего вопроса после расследования в вашем вопросе. - добавьте примечания в свой вопрос, описывающие, что именно происходило на вашей Fedora
- Когда вы запускаете wireshark из автоматической установки Fedora,
Обновление с вашими результатами поможет людям в достижении этого вопроса в будущем.
Переключите все ваши серверы имен на OpenDNS (208.67.222.222 и 208.67.220.220) ИЛИ Google (8.8.8.8 и 8.8.4.4), потому что тогда вы можете получать уведомления, если любой из ваших запросов DNS записей для известных вредоносных сайтов и фишинговых сайтов. Я рекомендую OpenDNS через Google, потому что он очень хорошо контролирует категории веб-сайтов. Вы можете заблокировать все DNS-запросы в.ru и.cn, но затем занести их в белый список.
netstat может сказать вам, какие текущие соединения и процессы, у которых эти соединения открыты. запомните эту команду, t = tcp, u = udp, n = числовой, a = все, p = процессы: netstat -tunap
Активность брандмауэра: iptstate
host peak.org whois peak.org robtex.com отлично подходит для анализа сетей.
Вы можете попробовать использовать ltrace для захвата API-интерфейсов DNS, таких как gethostbyname (), getaddrinfo () любых запущенных программ.
[root@fc8 tmp]# ltrace -e getaddrinfo -f -tt wget http://www.google.com
--07:30:31-- http://www.google.com/
=> `index.html'
Resolving www.google.com... 07:30:31.415398 getaddrinfo("www.google.com", NULL, 0xbfd5e120, 0xbfd5e154) = 0
72.14.213.106, 72.14.213.105, 72.14.213.103, ...
Connecting to www.google.com|72.14.213.106|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
[ <=> ] 5,640 --.--K/s
07:30:31 (216.90 KB/s) - `index.html' saved [5640]
Вы можете прикрепить ltrace к запущенной программе с параметром -p pid.
Если вы действительно настроены на CSI / Perry Mason / Sherlock Homes, вы можете попытаться написать библиотеку shim для глобальной замены API-интерфейсов DNS и записать, кто и чем занимается каждый. Используйте Изменение динамической библиотеки без изменения исходного кода в качестве примера.
Пожалуйста, дайте нам знать, что вы найдете.