Si el DDOS está activo en el momento de la investigación, generalmente puede detectarlo por el hecho de que se encuentra en el estado de ejecución "R", para realizar continuamente nuevas conexiones (pruébelo varias veces):
ps uaxwf | grep ' R'
Si no es así, entonces puede verlo por las conexiones de red que está realizando. Las conexiones realizadas por los scripts PHP y CGI del usuario son sospechosas:
netstat -antup
Por lo general, los scripts DDOS son scripts PHP o CGI que se ejecutan sin privilegios de root. Si encuentra DDOS ejecutándose con privilegios de root, entonces tiene un problema.
Si permites conexiones entrantes, entonces puedes tener un shell de escucha:
netstat -lntup
Si falla esto, puede buscar un gran volumen de POST recientes en un solo sitio. No todos los armazones de las puertas traseras usan POST, pero es muy popular. Esto lo hará:
find /usr/local/apache/domlogs -type f -mmin -10 -maxdepth 1 |
xargs tail -F -n 10 | grep POST
Si encuentra algo inusual como rsknnf.php
, es probable que sea un shell de puerta trasera, aunque ocasionalmente están ocultos a unos pocos niveles en el código fuente de algunos CMS. Si encuentras uno, mata la cuenta.