Ich habe eine aktualisierte Neuinstallation von CentOS 7. Einen Tag nach der Installation bemerkte ich eine Menge ausgehenden Datenverkehr, der ausreichte, um das gesamte Heimnetzwerk zu verlangsamen und meinen Netgear n450-Router zum Absturz zu bringen.
iftop verrät:
192.168.0.9:45819 => 39.107.91.147:asterix
192.168.0.9:41311 => 39.107.91.147:asterix
192.168.0.9:20364 => 39.107.91.147:asterix
192.168.0.9:43557 => 39.107.91.147:asterix
Dieser Zielport von Asterix scheint seltsam. Ich habe es ausgeführt, netstataber nichts zu diesem Ziel gesehen und es lsof -i :asterixwird nichts angezeigt.
Ich bin bereit, einfach alles zu löschen und neu zu installieren, aber meine Neugier will tiefer in die Materie eintauchen. Kann mir jemand erklären, wie ich herausfinden kann, welcher Prozess dies verursacht und wie ich ihn entfernen kann?
Bearbeiten: Ich habe auch Wireshark ausgeführt:
192.168.0.9 39.107.224.31 tcp 921 54081 ->8600 [SYN] Seq=0 Win=60246 Len=867
192.168.0.9 39.107.224.31 tcp 911 28526 ->8600 [SYN] Seq=0 Win=60596 Len=857
und es geht immer weiter. Beachten Sie die unterschiedliche Ziel-IP. Sie ändert sich jedes Mal, wenn ich die Verbindung wieder herstelle oder eine Firewall-Regel einstelle, um ausgehenden Datenverkehr an diese Adresse zu blockieren.
Antwort1
Ich würde vorschlagen, Tools wie fail2ban und OSSEC zu installieren, damit Sie diese Art von Vorfällen effizienter überwachen können.
Und dann können Sie mit netstat Benutzer, Inode usw. abrufen. Wenn Sie den Port kennen:
# netstat -tanp -e |awk 'NR == 2 || /<port_number/'
Example
# netstat -tanp -e |awk 'NR == 2 || /8009/'
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:8009 0.0.0.0:* LISTEN 43475 8771034 30611/java
Antwort2
VersuchenNethogs, es ist wie der normale topBefehl, zeigt Ihnen aber die Netzwerkauslastung pro Prozess.