No meu CentOS 7, em um ponto, sudo ss -plt listou uma porta marcada como LISTENING em *:30565 , mas não havia nenhuma informação na coluna de processo de sua linha. As outras portas de escuta estavam mostrando seu processo de propriedade como de costume, como users:(("sshd",pid=1381,fd=3)) , mas essa linha não tinha nenhuma informação de processo. lsof -i :30565 ou netstat -p também não recebeu nenhuma informação.
Eu não consegui reproduzir isso, e luto para pensar em uma situação que um "não-processo" possa estar escutando em uma porta (já que tenho certeza que o Linux faz o trabalho de limpeza pretendido quando um tcp- escuta proess morre). Como acontece com vários programas também, a única explicação que posso pensar é que este é um comportamento "intencional, mas muito rootkit-y" do CentOS, mas eu certamente estou perdendo alguma coisa. O que poderia ter causado isso?
O ponto em netstat não mostrar as informações do processo em algumas situações, por exemplo, NFS, é que o NFS é um módulo do kernel e, como tal, não é executado como um processo normal e não possui um PID.
Você pode encontrar regularmente tópicos sobre essa situação, incluindo o NFS em suas pesquisas no google:
o netstat não reporta o nome do PID / Programa para algumas portas
Tags networking netstat lsof linux tcp