Fedora Linux продолжает делать DNS-запросы к случайным сайтам

1556
Keshav Prasad

У меня на ноутбуке Fedora 12 Linux, на котором установлены все последние обновления безопасности. Но когда я открываю wireshark и просматриваю только DNS-запросы (добавляя DNS-фильтр), я замечаю, что мой ноутбук продолжает выполнять DNS-запросы к случайным сайтам. Я наблюдал это даже после закрытия всех приложений (браузер, торрент-клиенты и т. Д.)

Это какой-то червь или вирус? :( Как мне узнать, какой процесс отправляет эти DNS-запросы? Как ни странно, только некоторые сайты, которые запрашиваются для DNS, являются теми, которые я посетил. Другие сайты - я даже не слышал о них раньше. ,

Пробовал запускать lsof -nl | grep udp в цикле внутри скрипта. Это всегда приводит к отсутствию результатов.

Спасибо,
кешав

0
какие сайты? Stephen Jennings 14 лет назад 1
Некоторые сайты, такие как www.google.com, howtogeek.com, safebrowsing-cache.google.com и т. Д., Я только что получил их только что из результатов Wireshark. Keshav Prasad 14 лет назад 0

4 ответа на вопрос

1
nik

Некоторые заметки.

  1. Все имена, на которые вы ссылаетесь в ваших комментариях
    , могут быть связаны с вашим браузером или процессами обновления fedora.
    • Когда вы запускаете wireshark из автоматической установки Fedora,
      это поможет сохранить открытый фильтр захвата для получения всех пакетов.
      Это скажет вам, что происходит с сайтом после поиска DNS.
      Эта последняя часть будет иметь действительно полезную информацию.
      Если используется вредоносное ПО, DNS-поиск будет наименее подозрительным.
    • В общем (и я, вероятно, высовываю свою шею из-за этого),
      маловероятно, что у вас есть какая-то форма руткита, поражающая вашу Fedora,
      и вы должны найти разумные ответы, основанные на двух вышеупомянутых пунктах.
      Тогда было бы уместно,
    • удалить wormи virusтег из вашего вопроса - как только вы уверены, что это не так. По крайней мере, подумайте над разъяснением вашего вопроса после расследования в вашем вопросе.
    • добавьте примечания в свой вопрос, описывающие, что именно происходило на вашей Fedora

Обновление с вашими результатами поможет людям в достижении этого вопроса в будущем.

Привет Ник, Хорошее предложение, чтобы проверить, что происходит после DNS-запроса. Я проверю это и обновлю .. Спасибо! Keshav Prasad 14 лет назад 0
Хорошо получается, что он делает только запрос DNS и получает ответ обратно ... после этого нет никаких подозрительных пакетов! Keshav Prasad 14 лет назад 0
Я не уверен, что, по вашему мнению, делает пакет подозрительным, но если вы видите эти DNS-запросы, когда уверены, что у вас нет открытого окна браузера, попробуйте перехватить подключения к порту 80 (и пакетам SYN к порту 443 - это HTTPS, так что нет смысла получать полезную нагрузку, она все равно зашифрована, но выясните, кто говорит). Gabe 10 лет назад 0
0
John T

Сайт, который вы не считаете посещаемым, может быть просто сервером имен сайтов, которые вы сделали. Например, Superuser фактически находится в центре данных http://www.peak.org в сети VLAN. Этими загадочными запросами могут быть также фоновые службы, такие как ваша система, запрашивающая сервер времени в Интернете, а не такие очевидные программы, как ваш торрент-клиент.

Привет, Джон, ajax.googleapis.com, www.gravatar.com, ftp.hostrino.com редко запрашивают у фоновых демонов - вот что я чувствую. Вышеуказанные сайты были запрошены для DNS, когда мой браузер был закрыт! Keshav Prasad 14 лет назад 0
Ну, первые 2, вероятно, от посещения суперпользователя. Возможно, просто отправляйте пакеты keepalive до истечения времени ожидания. John T 14 лет назад 0
Хм, я очистил полный кеш браузера, закрыл браузер и попробовал снова с wireshark. Он снова запросил www.neogaf.com, ajax.googleapis.com и т. Д. (Когда браузер был закрыт) Keshav Prasad 14 лет назад 0
0
tony-p-lee

Вы можете попробовать использовать ltrace для захвата API-интерфейсов DNS, таких как gethostbyname (), getaddrinfo () любых запущенных программ. 

[root@fc8 tmp]# ltrace -e getaddrinfo -f -tt wget http://www.google.com --07:30:31-- http://www.google.com/ => `index.html' Resolving www.google.com... 07:30:31.415398 getaddrinfo("www.google.com", NULL, 0xbfd5e120, 0xbfd5e154) = 0 72.14.213.106, 72.14.213.105, 72.14.213.103, ... Connecting to www.google.com|72.14.213.106|:80... connected. HTTP request sent, awaiting response... 200 OK Length: unspecified [text/html]  [ <=> ] 5,640 --.--K/s  07:30:31 (216.90 KB/s) - `index.html' saved [5640]

Вы можете прикрепить ltrace к запущенной программе с параметром -p pid.

Если вы действительно настроены на CSI / Perry Mason / Sherlock Homes, вы можете попробовать написать библиотеку shim для глобальной замены API-интерфейсов DNS и записать, кто и чем занимается каждый. Используйте Модификацию динамической библиотеки без изменения исходного кода в качестве примера.

Пожалуйста, дайте нам знать, что вы найдете.

0

Переключите все ваши серверы имен на OpenDNS (208.67.222.222 и 208.67.220.220) ИЛИ Google (8.8.8.8 и 8.8.4.4), потому что тогда вы можете получать уведомления, если любой из ваших запросов DNS записи для известных вредоносных сайтов и фишинговых сайтов. Я рекомендую OpenDNS через Google, потому что он очень хорошо контролирует категории веб-сайтов. Вы можете заблокировать все DNS-запросы к .ru и .cn, но затем занести их в белый список.

netstat может сказать вам, какие текущие соединения и процессы, у которых эти соединения открыты. запомните эту команду, t = tcp, u = udp, n = числовой, a = все, p = процессы: netstat -tunap

Активность брандмауэра: iptstate

host peak.org whois peak.org robtex.com отлично подходит для анализа сетей.

Похожие вопросы