watch com netstat -p deve ajudar com isso.
Eu queria saber se é possível descobrir qual processo está tentando fazer uma conexão de rede específica. Em um servidor que suporta sites para cerca de 200 usuários, o firewall iptables continua bloqueando, como deveria, uma conexão para 212.117.169.139 na porta 80. O Firefox relata isso como uma página de ataque (e, no mínimo, é um spam óbvio, se não malicioso).
Parece que alguma coisa neste servidor está tentando acessar este site por algum motivo, e embora ele esteja sendo bloqueado com sucesso, as solicitações parecem estar passando a cada dois ou sessenta segundos e eu gostaria de saber qual processo ou script está fazendo isso para que eu possa lidar com isso de forma adequada. Além de fazer um grep para tentar descobrir se esse IP está em algum arquivo (o que provavelmente nem funcionará porque pode estar funcionando pelo hostname ou pode estar codificado), existe alguma maneira de descobrir mais algumas informações?
Obrigado!
O Serverfault tem uma resposta, use o auditd para rastrear quais conexões de abertura do programa . Pode ser um exagero para você ..