在我们的Linux机器上,我们找到了/ etc / hosts文件的内容:
127.0.0.1 localhost
# *********��������Ϊ360��ȫ��ʿΪ��������ľ����������******************
127.0.0.1 yu.8s7.net
127.0.0.1 1.jopanqc.com
127.0.0.1 2.joppnqq.com
...
...
文件中有20多条相似的行。
这是什么?这是攻击吗?感谢您的任何想法。
Zlaja
答案 0 :(得分:1)
看起来很可疑,因为通常不会有超过2-3个条目指向127.0.0.1。但是,攻击者可能无法通过将域名查找重定向到127.0.0.1获得更多 - 除非攻击者运行本地服务器来捕获针对这些域的请求。您是否看到任何打开侦听器套接字的可疑进程?如果是真的那么它可能是一次攻击。还可以在网上搜索这些域名。如果是攻击,您将找到有关它的更多信息。如果所有这些都是负面的,那么它可能不是攻击。
答案 1 :(得分:0)
是否有可能在您的服务器上运行安全程序(类似于denyhosts),该程序会自动将可疑主机名注册为127.0.0.1,以禁止按名称访问这些主机?