linux = iptables = несанкционирования подмена ip на хостнейм

[Chairman]

кратко о проблеме. - сервер дебиан. на котором при добавлении правила iptables шла подмена ip на левый хостнейм


с чего все началось:
хотел устанвоить блок по ssh для всех кроме своего IP

когда добавлял правило, обнаружил подмену на swif-034193.swiftki.com

iptables -I INPUT -s 100.100.100.100 -j ACCEPT

100.100.100.100 - это мой IP с которого подключаюсь к серверу
какой-то процесс или скрипт автоматически обновлял правило и подменял IP-адрес на хостнейм

дальше мои попытки обнаружит какой процес или служба это делает

strace -f -e trace=execve iptables -I INPUT -s 100.100.100.100 -j ACCEPT

strace не показал никакой дополнительной активности или процессов, которые могли бы изменить правило после его добавления.

watch -n 1 'ps aux | grep iptables'

все что я заметил PID процессов менялись каждую секунду

inotifywait -m /etc/ -e modify,create,delete

сервер использовался в качестве C2 и на нем запускались различные скрипты с github с целью подбора оптимального решение и функциональности. вообщем был экспериментальным, поэтому вопрос о возможном источнике заражения меня не волновал, как и сейчас. но я не смог определить, какой процесс делает это, и как в дальнейшем предотвратить подобное


прошу прокомментировать, кто более компетентен

 

[LenaTDDS]

Абсолютно нормальное поведение для iptables, никакого заражения нет. Если очень смущает, просто добавь флаг -n при выводе списка цепочек

 

[cryptogepard]

Абсолютно нормальное поведение для iptables, никакого заражения нет. Если очень смущает, просто добавь флаг -n при выводе списка цепочек

согласен такое же наблюдалось у iptables, просто забил так как ничего другого подозрительного не наблюдалось