GNU/Linux >> Linux Esercitazione >  >> Linux

Come sapere quale processo ha una porta specifica aperta su Linux?

Soluzione 1:

Oltre a Netstat, menzionato in altri post, il comando lsof dovrebbe essere in grado di farlo bene. Basta usare questo:

lsof -i :<port number>

e tutti i processi dovrebbero presentarsi. Lo uso su OS X abbastanza frequentemente.

Articolo dell'amministrazione Debian per lsof

Soluzione 2:

Avviso:il tuo sistema è compromesso.

Lo strumento di cui hai bisogno è lsof , che elencherà i file (e socket e porte). Molto probabilmente è installato ed è molto probabile che sia la versione dell'attaccante, il che significa che mentirà a te.

Questo è davvero un rootkit. Ho già visto questo comportamento ed è sempre un rootkit. Il tuo sistema è compromesso e tutti gli strumenti che stai utilizzando che provengono dalla stessa macchina non possono essere considerati attendibili. Avvia un Live CD (che ha binari attendibili di sola lettura) e usalo per estrarre dati, impostazioni, ecc. Tutti i programmi che avevi, gli script che avevi, abbandonali . Non portarli . Tratta loro, e il sistema, come se avessero la lebbra, perché ce l'hanno .

Una volta che hai finito, bombardalo dall'orbita.

Esegui questa operazione il prima possibile. Oh, e scollega la tua connessione di rete - nega l'accesso al tuo aggressore.

Soluzione 3:

sudo netstat -lnp

Elenca le porte in attesa di connessioni in entrata e il processo associato che ha la porta aperta.

Soluzione 4:

netstat -anp

Il "-p" gli dice di elencare l'ID del processo che ha la porta aperta. Il -an gli dice di elencare le porte in ascolto e di non risolvere i nomi. Su sistemi occupati che possono accelerare notevolmente la velocità con cui ritorna.

netstat -anp | grep "ELENCO"

Questo ti darà solo le porte aperte.

Soluzione 5:

Se non riesci a vedere la porta aperta con gli strumenti del sistema operativo e sospetti un'intrusione, potrebbe essere che sia stato installato un rootkit.

Il rootkit potrebbe aver modificato gli strumenti di sistema per evitare determinati processi e porte o modificato i moduli del kernel.

Puoi verificare la presenza di rootkit con diversi strumenti automatici. 'apt-cache search rootkit' mostra quanto segue in Ubuntu:

chkrootkit - rootkit detector
rkhunter - rootkit, backdoor, sniffer and exploit scanner
unhide - Forensic tool to find hidden processes and ports

Se ti capita di avere un rootkit puoi ripristinare la "modifica" nel tuo sistema, ma ti consiglio di scoprire come è stata effettuata l'intrusione e di rafforzare il sistema affinché non si ripeta.

Non sono esclusivi di Ubuntu, puoi usarli anche in CentOS. Basta cercare il pacchetto o scaricarlo dalla loro pagina.

Dall'output di quella porta sembra che tu stia effettivamente eseguendo pcanywhere:"�Ы� " è molto simile a "Please press " che è il messaggio di benvenuto di pcanywhere. Non so perché il processo non viene visualizzato nell'elenco dei processi. Sei root?

Puoi anche provare a riavviare per vedere se è in esecuzione un processo una tantum.


Linux

  1. Qual è il processo di disattivazione dell'hardware del server Linux?

  2. Come controllare la porta aperta su un sistema Linux remoto

  3. Come uccidere un processo in esecuzione su una porta specifica in Linux?

  4. Come posso sapere quali file ha aperto un processo?

  5. Controlla se la porta è aperta o chiusa su un server Linux?

Come verificare che una porta sia aperta su un sistema Linux remoto

Come trovare e chiudere le porte aperte in Linux

Come utilizzare Netcat per scansionare le porte aperte in Linux

Come eliminare l'esecuzione del processo Linux su una porta particolare

Come sapere se il tuo sistema ha una porta USB 3.0 in Linux [Suggerimento rapido]

Come tracciare e tracciare un processo Linux