Ik kom deze heel veel tegen in de apache error logs:
Zo te zien wordt dus het host commando gebruikt, misschien door een webshop of zoiets? Geen idee maar het werkt storend als je de logs moet doorzoeken.Usage: host [-aCdlriTwv] [-c class] [-N ndots] [-t type] [-W time]
[-R number] [-m flag] hostname [server]
-a is equivalent to -v -t ANY
-c specifies query class for non-IN data
-C compares SOA records on authoritative nameservers
-d is equivalent to -v
-l lists all hosts in a domain, using AXFR
-i IP6.INT reverse lookups
-N changes the number of dots allowed before root lookup is done
-r disables recursive processing
-R specifies number of retries for UDP packets
-s a SERVFAIL response should stop query
-t specifies the query type
-T enables TCP/IP mode
-v enables verbose output
-w specifies to wait forever for a reply
-W specifies how long to wait for a reply
-4 use IPv4 query transport only
-6 use IPv6 query transport only
-m set memory debugging flag (trace|record|usage)
Nu ben ik dus op zoek naar iets wat van dit commando gebruik zou kunnen maken.
Ik heb wel een vermoeden van welk gebruikersaccount het afkomstig is, want een paar dagen geleden kwam dit bericht van CSF/LFD:
Deze heeft hoofdzakelijk wordpress installaties en webshops op zijn account. Hoe kan ik nu het beste uitzoeken door welk script precies dit commando gebruikt wordt? Want dat stond helaas niet in de mail van de firewall en ook niet in de apache error log. In de domeinlog zag ik er ook niets van zo vlug.Onderwerp: lfd on server.mydomain.nl: Excessive resource usage: ppxxxxxx (32543 (Parent PID:32050))
Time: Wed Jan 15 17:12:26 2014 +0100
Account: ppxxxxxx
Resource: Virtual Memory Size
Exceeded: 250 > 150 (MB)
Executable: /usr/bin/host
Command Line: host -W 1 157.56.93.93
PID: 32543 (Parent PID:32050)
Killed: No
Het gaat om een server met Directadmin.