ทุกๆ 5 นาทีหรือมากกว่านั้นกระบวนการบนเครื่องของฉันด้วยรหัสผู้ใช้หลักของฉันพยายามเปิดการเชื่อมต่อไปยังที่อยู่ IP ที่ไม่รู้จัก (ไม่มี rDNS) ที่พอร์ต TCP ที่ผิดปกติ (> 1k) ฉันเห็นสิ่งนี้ในบันทึกไฟร์วอลล์ IP ของคอมพิวเตอร์เพราะการเชื่อมต่อถูกปฏิเสธทุกครั้ง:
[243678.820911] Firewall: *TCP_OUT Blocked* IN= OUT=eth1 SRC=192.168.1.33 DST=123.45.67.89 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=31984 DF PROTO=TCP SPT=31339 DPT=1234 WINDOW=64240 RES=0x00 SYN URGP=0 UID=1234 GID=1234
ตอนนี้ฉันต้องการค้นหาว่ากระบวนการนี้เป็นอย่างไร (มีสองสามร้อยคนกำลังทำงานอยู่) เพื่อที่จะหยุดมันจากความพยายามและเพื่อดูว่านี่เป็นสิ่งที่ฉันควรเป็นห่วงหรือไม่
ฉันจะรอและตรวจจับได้ถึงชื่อกระบวนการซึ่งกระบวนการเปิดการเชื่อมต่อไปที่ 123.45.67.89 ที่พอร์ต TCP 3456 ในฐานะผู้ใช้ id 1234?
เพื่อชี้แจง: ข้อความไฟร์วอลล์คือพีซีหรือเราเตอร์เครือข่ายของคุณหรือไม่ ... ที่อยู่ IP ที่คุณระบุไว้ในคำถามดูเหมือนจะเป็นของซัมซุง ... ดังนั้นหากเป็นไฟร์วอลล์ของเราเตอร์ฉันจะบอกว่านี่อาจเป็นสมาร์ททีวีหรือโทรศัพท์หรือบางสิ่งบางอย่างที่พยายามอัปเดตอัตโนมัติ ... คุณสามารถ ใช้
—
RubberStamp
watch -n15 lsof -a -i4@123.45.67.89:3456 -u 1234... ซึ่งจะตรวจสอบทุก 15 วินาที
@RubberStamp ใช่พวกเขาอยู่ในเครื่องของฉันไม่ใช่เราเตอร์ ดังนั้นส่วนประกอบซอฟต์แวร์หรือหน้าเว็บของ Linux ในเบราว์เซอร์ที่เปิดอยู่ทั้ง 5 รายการ
—
Ned64
@StephenHarris ขอบคุณฉันจะตรวจสอบตัวเลือกการตรวจสอบนี่อาจเป็นสิ่งที่ฉันต้องการ
—
Ned64
auditctl -a exit,always -F arch=b64 -S connect -k FLAGจะตั้งค่าสถานะโปรแกรม 64 บิตที่เรียกการconnect(2)เรียกระบบ คุณจะต้องมีบรรทัดที่คล้ายกันสำหรับโปรแกรม 32 บิตหากคุณมีทั้งคู่ในระบบของคุณ