Se il DDOS è attivo al momento dell'indagine, di solito è possibile individuarlo dal fatto che è in stato "R" in esecuzione, al fine di creare continuamente nuove connessioni (provatelo un paio di volte):
ps uaxwf | grep ' R'
Se non è così, allora puoi individuarlo tramite le connessioni di rete che sta facendo - le connessioni fatte dagli script PHP e CGI degli utenti sono sospette:
netstat -antup
Solitamente gli script DDOS sono script PHP o CGI che funzionano senza privilegi di root. Se trovi DDOS in esecuzione con i privilegi di root, allora hai un problema.
Se consenti le connessioni in entrata, potresti avere una shell di ascolto:
netstat -lntup
In caso contrario, puoi cercare un elevato volume di POST recenti in un singolo sito. Non tutti i gusci delle porte posteriori usano il POST, ma sono popolari in modo ricorrente. Questo lo farà:
find /usr/local/apache/domlogs -type f -mmin -10 -maxdepth 1 |
xargs tail -F -n 10 | grep POST
Se trovi qualcosa di insolito come rsknnf.php
, probabilmente è una shell backdoor, anche se a volte sono nascosti alcuni livelli in profondità nel codice sorgente di alcuni CMS. Se ne trovi uno, uccidi l'account.