Veja a lsof output e rastreie o processo que está abrindo um grande número de números de porta possivelmente sequenciais.
Eu tenho o servidor Linux executando um processo não autorizado (que eu não sei o nome de) que está fazendo uma varredura de porta do servidor para a internet.
Como faço para descobrir qual é o processo e mate-o!
Obrigado!
Se o seu sistema foi comprometido, pode não haver uma maneira possível de identificar e eliminar o processo. Seu único recurso pode ser reiniciar a máquina a partir de mídia limpa e iniciar uma varredura / restauração / reconstrução.
Veja: Rescaldo de um hack
netstat -l -p -d pode dar um resultado interessante se a máquina não for rootkitted.
Tags security linux-networking port