Есть сервер, на нем поднят ДНС (bind 9.4) Сервер начал безумно тормозить, начали разбираться - выходит что грузит систему процесс named (тобишь днс)
Смотри сколько пакетов на него идет (на 53 порт):
644123 IP 10.0.0.236.1338 > inet.domain: 7273+[|domain]
15:26:41.644330 IP 10.0.0.236.1447 > inet.domain: 49416+[|domain]
15:26:41.646496 IP 10.0.0.236.1536 > inet.domain: 6076+[|domain]
15:26:41.654138 IP 10.0.0.236.1448 > inet.domain: 39178+[|domain]
15:26:41.664198 IP 10.0.0.236.1339 > inet.domain: 44392+[|domain]
15:26:41.664314 IP 10.0.0.236.1340 > inet.domain: 33386+[|domain]
15:26:41.674163 IP 10.0.0.236.1342 > inet.domain: 16490+[|domain]
15:26:41.674271 IP 10.0.0.236.1341 > inet.domain: 54122+[|domain]
15:26:41.674495 IP 10.0.0.236.1620 > inet.domain: 11285+ A? 5NtY6H66e58xJS1x5jU0.ultra-online.ru. (54)
15:26:41.674927 IP 10.0.0.236.1506 > inet.domain: 41690+[|domain]
15:26:41.684309 IP 10.0.0.236.1343 > inet.domain: 60245+[|domain]
15:26:41.694583 IP inet.domain > 10.0.0.237.prospero-np: 30235 1/3/3 (179)
15:26:41.696320 IP 10.0.0.236.1537 > inet.domain: 18111+[|domain]
15:26:41.702247 IP inet.domain > 10.0.0.212.1026: 31268 7/8/8 CNAME[|domain]
15:26:41.704290 IP 10.0.0.236.1344 > inet.domain: 61013+[|domain]
15:26:41.704495 IP 10.0.0.236.1345 > inet.domain: 33108+[|domain]
15:26:41.715764 IP 10.0.0.236.1449 > inet.domain: 14069+ A? M1f4gwGb8BnuDJJXk822.ultra-online.ru. (54)
15:26:41.716247 IP 10.0.0.236.1507 > inet.domain: 60378+[|domain]
15:26:41.724705 IP 10.0.0.236.1508 > inet.domain: 36292+[|domain]
15:26:41.734245 IP 10.0.0.236.1346 > inet.domain: 36951+[|domain]
15:26:41.736957 IP 10.0.0.236.1538 > inet.domain: 39353+[|domain]
15:26:41.744978 IP 10.0.0.236.1347 > inet.domain: 52566+[|domain]
15:26:41.746743 IP 10.0.0.236.1539 > inet.domain: 48056+[|domain]
15:26:41.755000 IP 10.0.0.236.1348 > inet.domain: 37969+[|domain]
15:26:41.755202 IP 10.0.0.236.1450 > inet.domain: 244+[|domain]
15:26:41.764374 IP 10.0.0.236.1451 > inet.domain: 7415+[|domain]
15:26:41.765025 IP 10.0.0.236.1509 > inet.domain: 52676+[|domain]
15:26:41.774369 IP 10.0.0.236.1452 > inet.domain: 45046+[|domain]
15:26:41.775813 IP 10.0.0.236.1510 > inet.domain: 6340+[|domain]
15:26:41.776050 IP 10.0.0.236.1511 > inet.domain: 12231+ A? j2KGCv8JjoV2RrKS0U7oH.ultracomp.ru. (52)
15:26:41.776151 IP 10.0.0.236.1349 > inet.domain: 62032+[|domain]
15:26:41.777873 IP 10.0.0.236.1540 > inet.domain: 8123+[|domain]
15:26:41.784342 IP 10.0.0.236.1350 > inet.domain: 41043+[|domain]
это кусочек лога за время меньше секунды.
И самое интересное:
Это происходит с разных ИП-адресов, причем подмена ИП-адреса исключена т.к. пришел к одному человеку, отрубил комп - все наладилось. Другой приносил комп, как принес - все прекратилось Тоесть физически компы находяться в разных и на своих местах. Один комп проверил на вирусы, из интересного нашел:
Trojan-Proxy.Win32.Agent (незнаю может ли быть что то связанное с ним)
На сайте капера вот что написали о нем:
Что интересно, что даже если меняю этому человеку мак на фиктивны в своей статической арп таблице то он вусеравно продолжает флудить и грузить проц. Удалось отрубить его флуд только средствами iptables
Народ, подскажите куда копать ????
Вобщем что делать - незнаю, от сервака не могу отойти.
