URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4299
[ Назад ]

Исходное сообщение
"активность процесса в линукс"

Отправлено ilyal , 13-Июл-09 23:08 
Добрый день!
Имею систему Asplinux 7.3. С нее стал идти постоянный исходящий трафик с 25 порта, никакого почтового сервера не поднято. Машинка стоит роутером. На локальном пк все чисто. Для проверки он просто отключался. Трафик продолжает идти наружу.
Как посмотреть какой процесс шлет мусор ???

Содержание

Сообщения в этом обсуждении
"активность процесса в линукс"
Отправлено angra , 14-Июл-09 00:00 
# netstat -apn --inet
Ищем то, что использует 25 порт, например при помощи grep

"процесс активности в линукс"
Отправлено Andrey Mitrofanov , 14-Июл-09 09:27 
>постоянный исходящий трафик с 25 порта

Может быть, _на_ 25 порт?..

>Машинка стоит роутером.

Раздаёт NAT-ом инет пользователям? Может быть, это _их_ трафик?

iptables -I FORWARD -p tcp --dport 25 -j DROP
?

>Для проверки он просто отключался.

Кто "он"? Кто на ком стоял?..

>Трафик продолжает идти наружу.


"процесс активности в линукс"
Отправлено ilyal , 14-Июл-09 09:42 
>>постоянный исходящий трафик с 25 порта
>
>Может быть, _на_ 25 порт?..

Видны по tcpdump на внешнем интерефейсе пакеты извне с разных адресов на 25 порт и тут же ответы назад.

>
>>Машинка стоит роутером.
>
>Раздаёт NAT-ом инет пользователям? Может быть, это _их_ трафик?

Натом раздаю. Трафик не может быть внутренних клиентов, т.к они все отключены физически - выдернут кабель из сетевухи в локалку.
>
>iptables -I FORWARD -p tcp --dport 25 -j DROP
>?
>
>>Для проверки он просто отключался.
>
>Кто "он"? Кто на ком стоял?..
>
>>Трафик продолжает идти наружу.

Смотрел по netstat -apn --inet. Видны только 2 сервиса - sshd и pptpd. На внешнем интерфейсе висит только pptpd.

Может когда-то юзеры вирусанулись сильно и IP компа был занесен куда-то качестве релея спама и теперь пытаются через него отправлять спам ?

Проверил исходящий трафик за ночь - почти ничего , так пару кб.


"процесс активности в линукс"
Отправлено angra , 14-Июл-09 14:47 
>Видны по tcpdump на внешнем интерефейсе пакеты извне с разных адресов на 25 порт и тут же ответы назад.

Какие именно ответы, проходит ли установка tcp соединения или просто идет отфутболивание с возможным ICMP-reject? Попробуйте сами на свой внешний ip постучатся при помощи telnet или netcat

Если tcp сессия устанавливается и идут данные, но при этом netstat ничего не показывает, то рекомендуется проверка машины при помощи rkhunter с unhide