Eu tenho que administrar um servidor do Ubuntu 12.04, onde parece haver portscans para toda a sub-rede. Como posso descobrir o processo que faz as varreduras?
pstree
init─┬─acpid
├─apache2───14*[apache2]
├─atd
├─avahi-daemon───avahi-daemon
├─bluetoothd
├─colord───2*[{colord}]
├─console-kit-dae───64*[{console-kit-dae}]
├─cron
├─cupsd
├─dbus-daemon
├─fail2ban-server───2*[{fail2ban-server}]
├─gam_server
├─6*[getty]
├─irqbalance
├─kdm─┬─Xorg
│ └─kdm───kdm_greet───2*[{kdm_greet}]
├─mysqld───27*[{mysqld}]
├─ntpd
├─polkitd───{polkitd}
├─rsyslogd───3*[{rsyslogd}]
├─smbd───smbd
├─sshd───sshd───sshd───bash───su───bash───tmux
├─tmux───bash───pstree
├─udevd───2*[udevd]
├─upstart-socket-
└─upstart-udev-br
use lsof. Mostra os processos e seus arquivos associados. Para você, você deve procurar por IP (implicando em sockets) ao invés de arquivos regulares. Isso deve lhe dizer qual processo está fazendo a varredura. Então você pode acompanhar como o processo é chamado.
Tags debugging networking scanner ubuntu tcp