forum.opennet.ru - "активность процесса в линукс" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"активность процесса в линукс"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"активность процесса в линукс"		+/–
Сообщение от ilyal (ok) on 13-Июл-09, 23:08
Добрый день! Имею систему Asplinux 7.3. С нее стал идти постоянный исходящий трафик с 25 порта, никакого почтового сервера не поднято. Машинка стоит роутером. На локальном пк все чисто. Для проверки он просто отключался. Трафик продолжает идти наружу. Как посмотреть какой процесс шлет мусор ???
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

активность процесса в линукс, angra, 00:00 , 14-Июл-09, (1)
процесс активности в линукс, Andrey Mitrofanov, 09:27 , 14-Июл-09, (2)

процесс активности в линукс, ilyal, 09:42 , 14-Июл-09, (3)

процесс активности в линукс, angra, 14:47 , 14-Июл-09, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "активность процесса в линукс" +/–

Сообщение от angra (ok) on 14-Июл-09, 00:00

# netstat -apn --inet
Ищем то, что использует 25 порт, например при помощи grep

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "процесс активности в линукс" +/–

Сообщение от Andrey Mitrofanov on 14-Июл-09, 09:27

>постоянный исходящий трафик с 25 порта
Может быть, _на_ 25 порт?..
>Машинка стоит роутером.
Раздаёт NAT-ом инет пользователям? Может быть, это _их_ трафик?
iptables -I FORWARD -p tcp --dport 25 -j DROP
?
>Для проверки он просто отключался.
Кто "он"? Кто на ком стоял?..
>Трафик продолжает идти наружу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "процесс активности в линукс" +/–

Сообщение от ilyal (ok) on 14-Июл-09, 09:42

>>постоянный исходящий трафик с 25 порта
>
>Может быть, _на_ 25 порт?..
Видны по tcpdump на внешнем интерефейсе пакеты извне с разных адресов на 25 порт и тут же ответы назад.
>
>>Машинка стоит роутером.
>
>Раздаёт NAT-ом инет пользователям? Может быть, это _их_ трафик?
Натом раздаю. Трафик не может быть внутренних клиентов, т.к они все отключены физически - выдернут кабель из сетевухи в локалку.
>
>iptables -I FORWARD -p tcp --dport 25 -j DROP
>?
>
>>Для проверки он просто отключался.
>
>Кто "он"? Кто на ком стоял?..
>
>>Трафик продолжает идти наружу.
Смотрел по netstat -apn --inet. Видны только 2 сервиса - sshd и pptpd. На внешнем интерфейсе висит только pptpd.
Может когда-то юзеры вирусанулись сильно и IP компа был занесен куда-то качестве релея спама и теперь пытаются через него отправлять спам ?
Проверил исходящий трафик за ночь - почти ничего , так пару кб.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "процесс активности в линукс" +/–

Сообщение от angra (ok) on 14-Июл-09, 14:47

>Видны по tcpdump на внешнем интерефейсе пакеты извне с разных адресов на 25 порт и тут же ответы назад.
Какие именно ответы, проходит ли установка tcp соединения или просто идет отфутболивание с возможным ICMP-reject? Попробуйте сами на свой внешний ip постучатся при помощи telnet или netcat
Если tcp сессия устанавливается и идут данные, но при этом netstat ничего не показывает, то рекомендуется проверка машины при помощи rkhunter с unhide

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "активность процесса в линукс"		+/–
Сообщение от angra (ok) on 14-Июл-09, 00:00
# netstat -apn --inet Ищем то, что использует 25 порт, например при помощи grep
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "процесс активности в линукс"		+/–
Сообщение от Andrey Mitrofanov on 14-Июл-09, 09:27
>постоянный исходящий трафик с 25 порта Может быть, _на_ 25 порт?.. >Машинка стоит роутером. Раздаёт NAT-ом инет пользователям? Может быть, это _их_ трафик? iptables -I FORWARD -p tcp --dport 25 -j DROP ? >Для проверки он просто отключался. Кто "он"? Кто на ком стоял?.. >Трафик продолжает идти наружу.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "процесс активности в линукс"		+/–
	Сообщение от ilyal (ok) on 14-Июл-09, 09:42
	>>постоянный исходящий трафик с 25 порта > >Может быть, _на_ 25 порт?.. Видны по tcpdump на внешнем интерефейсе пакеты извне с разных адресов на 25 порт и тут же ответы назад. > >>Машинка стоит роутером. > >Раздаёт NAT-ом инет пользователям? Может быть, это _их_ трафик? Натом раздаю. Трафик не может быть внутренних клиентов, т.к они все отключены физически - выдернут кабель из сетевухи в локалку. > >iptables -I FORWARD -p tcp --dport 25 -j DROP >? > >>Для проверки он просто отключался. > >Кто "он"? Кто на ком стоял?.. > >>Трафик продолжает идти наружу. Смотрел по netstat -apn --inet. Видны только 2 сервиса - sshd и pptpd. На внешнем интерфейсе висит только pptpd. Может когда-то юзеры вирусанулись сильно и IP компа был занесен куда-то качестве релея спама и теперь пытаются через него отправлять спам ? Проверил исходящий трафик за ночь - почти ничего , так пару кб.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "процесс активности в линукс"		+/–
	Сообщение от angra (ok) on 14-Июл-09, 14:47
	>Видны по tcpdump на внешнем интерефейсе пакеты извне с разных адресов на 25 порт и тут же ответы назад. Какие именно ответы, проходит ли установка tcp соединения или просто идет отфутболивание с возможным ICMP-reject? Попробуйте сами на свой внешний ip постучатся при помощи telnet или netcat Если tcp сессия устанавливается и идут данные, но при этом netstat ничего не показывает, то рекомендуется проверка машины при помощи rkhunter с unhide
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору