Fedora Linux продолжает делать DNS-запросы к случайным сайтам

Question

У меня на ноутбуке Fedora 12 Linux, на котором установлены все последние обновления безопасности. Но когда я открываю wireshark и просматриваю только DNS-запросы (добавляя DNS-фильтр), я замечаю, что мой ноутбук продолжает выполнять DNS-запросы на случайные сайты. Я наблюдал это даже после закрытия всех приложений (браузер, торрент-клиенты и т.д.)

Это какой-то червь или вирус? :( Как мне узнать, какой процесс отправляет эти DNS-запросы? Как ни странно, только некоторые из сайтов, которые запрашиваются для DNS, являются теми, которые я посетил. Другие сайты - я даже не слышал о них раньше ...

Пробовал запускать lsof -nl | grep udp в цикле внутри скрипта. Это всегда приводит к отсутствию результатов.

Спасибо,
-Keshav

Answer 1

Некоторые заметки.

1. Все имена, на которые вы ссылаетесь в комментариях
   вещи, которые будут связаны с вашим браузером или процессами обновления fedora.
   • Когда вы запускаете wireshark из автоматической установки Fedora,
     это поможет сохранить открытый фильтр захвата для получения всех пакетов.
     Это скажет вам, что происходит с сайтом после поиска DNS.
     Эта последняя часть будет иметь действительно полезную информацию.
     Если используется вредоносное ПО, DNS-поиск будет наименее подозрительным.
   • В общем (и я, вероятно, высовываю свою шею от этого),
     маловероятно, что у вас есть какая-то форма руткита, попавшая в вашу Fedora,
     И вы должны найти разумные ответы на основе вышеупомянутых двух пунктов.
     Тогда было бы уместно,
   • удалите worm и virus теги из своего вопроса - если вы уверены, что это не так. По крайней мере, подумайте над разъяснением вашего вопроса после расследования в вашем вопросе.
   • добавьте примечания в свой вопрос, описывающие, что именно происходило на вашей Fedora

Обновление с вашими результатами поможет людям в достижении этого вопроса в будущем.

Answer 2

Сайт, который вы не считаете посещаемым, может быть просто сервером имен сайтов, которые вы сделали. Например, Superuser фактически находится в центре данных http://www.peak.org в сети VLAN. Эти загадочные запросы также могут быть службами в фоновом режиме, такими как ваша система, запрашивающая интернет-сервер времени, а не такими очевидными программами, как ваш торрент-клиент.

Answer 3

Переключите все ваши серверы имен на OpenDNS (208.67.222.222 и 208.67.220.220) ИЛИ Google (8.8.8.8 и 8.8.4.4), потому что тогда вы можете получать уведомления, если любой из ваших запросов DNS записи для известных вредоносных сайтов и фишинговых сайтов. Я рекомендую OpenDNS через Google, потому что он очень хорошо контролирует категории веб-сайтов. Вы можете заблокировать все DNS-запросы к .ru и .cn, но затем занести их в белый список.

netstat может сказать вам, какие текущие соединения и процессы, у которых эти соединения открыты. запомните эту команду, t = tcp, u = udp, n = числовой, a = все, p = процессы: netstat -tunap

Активность брандмауэра: iptstate

host peak.org whois peak.org robtex.com отлично подходит для анализа сетей.

Answer 4

Вы можете попробовать использовать ltrace для захвата API-интерфейсов DNS, таких как gethostbyname(), getaddrinfo() любых запущенных программ.

[root@fc8 tmp]# ltrace -e getaddrinfo -f -tt wget http://www.google.com
--07:30:31--  http://www.google.com/
           => `index.html'
Resolving www.google.com... 07:30:31.415398 getaddrinfo("www.google.com", NULL, 0xbfd5e120, 0xbfd5e154) = 0
72.14.213.106, 72.14.213.105, 72.14.213.103, ...
Connecting to www.google.com|72.14.213.106|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]

    [ <=>                                                     ] 5,640         --.--K/s

07:30:31 (216.90 KB/s) - `index.html' saved [5640]

Вы можете прикрепить ltrace к запущенной программе с параметром -p pid.

Если вы действительно настроены на CSI/Perry Mason/Sherlock Homes, вы можете попробовать написать библиотеку shim для глобальной замены API-интерфейсов DNS и записать, кто и чем занимается каждый. Используйте Модификацию динамической библиотеки без изменения исходного кода в качестве примера.

Пожалуйста, дайте нам знать, что вы найдете.