Como obter informações sobre um processo morto que estava escutando em uma porta específica?

Supondo que você não saiba o que esse processo estava tentando realizar, o que você pode fazer é:

• Execute last e last -f /var/log/btmp | less ou faillog para procurar tentativas de login suspeitas ou com falha.

• Verifique /var/log/secure para quaisquer dicas relacionadas à autenticação

• Verifique os /var/cron/tab e /etc/crontab para encontrar trabalhos recém-adicionados, se houver algum (verificar também /var/log/cron ajudaria a identificar alguns trabalhos suspeitos que foram executados, o que significa que a configuração cron foi modificada para parecer em outras pastas para trabalhos extras)

• Execute lsmod para quaisquer módulos suspeitos do kernel que estão atualmente carregados (também dkms status para os carregados dinamicamente)

Você também pode verificar todos os arquivos de log manualmente ou grep para um nome de processo (se souber). E sim, verifique /var/log/audit apenas no caso de auditd estar configurado e em execução. Nesse caso, você provavelmente descobriria mais algumas informações.

De qualquer forma, é mais sobre procurar uma agulha no palheiro. Você deve fazer muitos palpites educados (ou não tão educados) sobre o que o processo estava fazendo para encontrar qualquer coisa.

Isso depende quase inteiramente das opções de registro do programa relacionadas ao processo.

"Quase" porque falhas por causas externas ao processo devem ser registradas pelo sistema (sem espaço em disco, sem memória etc.)