Bind9 — Как найти, который программы делают который поиски DNS?
Файл был, вероятно, заблокирован с помощью атрибутов файла.
Как корень, сделать
lsattr zzzzx.php
Атрибуты a (добавьте режим), или i (неизменный) подарок предотвратил бы Ваш rm. Если они там, то
chattr -ai zzzzx.php
rm zzzzx.php
должен удалить Ваш файл.
Я не думаю, что это будет возможным, учитывая природу того, как DNS работает. DNS не знает ничего, которого приложения запрашивают его, только что сервис открыл порт при соединении хоста с ним (принятие TCP) или отправил пакет UDP на связывать сервер и связывать сервер, которому отвечают с ответом на это таинственное приложение по тому же самому соединению.
Сетевые анализаторы
В ситуациях, таких как это обычно Вы используете приложение для сниффинга сетевого трафика, поскольку он транспортирует назад и вперед, и можно сузиться, это - фокус так, чтобы Вы только видели сообщения, связанные с конкретным протоколом (DNS) в Вашем случае или трафике, текущем между 2 конечными точками (Ваш ПК и связывать сервер), обычно с помощью IP-адресов.
Так как Ваш вопрос достиг максимума мой интерес, я воспользовался возможностью для выяснения у этого Q относительно сайта Wireshark SE.
извлеките, Как я могу определить, который приложение, отправляющее запросы DNS, к моему Связывать сервер?
Я пытаюсь выяснить, как можно было бы пойти об определении, которое приложение на моем поле Linux отправляет конкретному запросу DNS моему Связывать сервер. Я играл со следующей командой:
$ tshark -i wlan0 -nn -e ip.src -e dns.qry.name -E separator=";" -T fields port 53 192.168.1.20;ajax.googleapis.com 192.168.1.101;ajax.googleapis.com 192.168.1.20;pop.bizmail.yahoo.comКак я могу заставить это показывать мне реальное приложение (порт и возможно PID)? Wireshark является одним таким инструментом, который Вы использовали бы, чтобы сделать это, существуют, конечно, другие.
На который я получил этот ответ:
С получениями обычного пакета нет никакого способа определить приложение или PID от пакетов, потому что все, что Вы видите, - то, от какого порта пакет был отправлен.
Если Вы получаете на хосте, который делает коммуникацию, Вы могли попытаться использовать Проект Точильного камня получить такую информацию. В Windows Монитор сети может сделать то же.
Иначе Вы могли попытаться использовать netstat на поле, которое делает определение имен и соответствует ему к номерам портов использование запроса DNS, но так как это - коммуникация UDP, порт открыт и закрывается почти немедленно - так возможности сделать netstat только в той миллисекунде, где это открыто, будет как попытка выиграть лотерею.
Проект точильного камня
Этот подход был похож на очень перспективный вывод. Это - первый проект, с которым я когда-либо сталкивался, который, казалось бы, создал бы связь между идентификаторами процесса и сетевыми пакетами.
Точильный камень является уникальным инструментом для корреляции пакетов к процессам для образования моста, Сеть узла делятся.
Ссылки
-
1да, осуществляя сниффинг localhost не поможет. Это просто покажет запросы, которые находятся в моем журнале. – Patrick 19.10.2013, 04:41
-
2Если сеть понижается, можно все еще осуществить сниффинг попыток исходящего пакета против соединения Ethernet/беспроводной сети, необходимо все еще видеть эти попытки, которые отличаются, чем какие-либо localhost, если я понимаю то, что Вы говорите правильно. – slm♦ 19.10.2013, 04:45
-
3@Patrick - видят обновления, я думаю, что Проект Точильного камня является инструментом, который Вы ищете! – slm♦ 19.10.2013, 06:05
Если у вас есть вероятная подозрительная программа, проверьте ее на системные вызовы recvfromи sendto. например, я получил тысячи запросов на поиск radheengineering.info, и, хотя в логах exim4 ничего не показывало это имя, это был наиболее вероятный виновник с первичным pid 1813.
поэтому, используя strace -f -p1813 -erecvfrom,sendto, я обнаружил, что запросы действительно делает exim4. Затем я заблокировал сеть /24, попадающую на сервер, и это решило проблему.