Como posso determinar qual programa ou usuário conectou a uma porta específica após o fato?

Navegue suas respostas
3

Estou examinando o log IPTABLES de saída do meu computador ontem e observe o seguinte:

IN= OUT=eth0 SRC=192.168.1.1 DST=69.46.36.10 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=12345 DF PROTO=TCP SPT=56789 DPT=4000 WINDOW=29200 RES=0x00 SYN URGP=0

Depois de procurar a lista de portas TCP conhecidas, há apenas um jogo do Diablo II usando porta 4000 . Eu não tenho o jogo instalado no meu computador. Eu tentei, mas não consegui determinar quais outros serviços poderiam estar se conectando à porta.

Como isso só acontece ontem, se eu usar netstat , eu poderia estar olhando para a tela o dia inteiro para pegar o serviço em ação. Existe uma maneira melhor de determinar qual programa ou usuário está conectado a essa porta específica?

    
por Question Overflow 02.09.2014 / 12:14

2 respostas

5

Você pode usar o sistema de auditoria para registrar todas as chamadas do sistema connect() . 

sudo auditctl -a exit,always -F arch=b64 -S connect -k connectLog
sudo auditctl -a exit,always -F arch=b32 -S connect -k connectLog

Então você pode pesquisar: 

sudo ausearch -i -k connectLog -w --host 69.46.36.10

Que mostrará algo como: 

type=SOCKADDR msg=audit(02/09/14 12:31:57.966:60482) : saddr=inet host:69.46.36.10 serv:4000
type=SYSCALL msg=audit(02/09/14 12:31:57.966:60482) : arch=x86_64 syscall=connect success=no exit=-4(Interrupted system call) a0=0x3 a1=0x20384b0 a2=0x10 a3=0x7fffbf8c9540 items=0 ppid=21712 pid=25423 auid=stephane uid=stephane gid=stephane euid=stephane suid=stephane fsuid=stephane egid=stephane sgid=stephane fsgid=stephane tty=pts5 ses=4 comm=telnet exe=/usr/bin/telnet.netkit key=connect

BTW, vi que o endereço IP foi resolvido de grm.feedjit.com e as tentativas de conexão feitas em portas 400x por iPhones.

    
por 02.09.2014 / 13:35
0

Use grep com netstat para uma determinada porta . Para verificar um período infinito de tempo com um atraso de tempo, você pode usar o seguinte comando - 

while($1); do netstat -anp | grep :80; sleep 1s;done > output.txt
    
por 02.09.2014 / 12:34

Tags

A execução do makefile resulta em “/ sbin / modprobe: opção inválida - 'l'” O terminal não está abrindo no Linux após permissão acidental de sobrescrever [duplicado]