Tengo una nueva instalación actualizada de CentOS 7. Un día después de la instalación noté una gran cantidad de tráfico saliente proveniente de ella, suficiente para ralentizar toda la red doméstica y bloquear mi enrutador Netgear n450.
iftop revela:
192.168.0.9:45819 => 39.107.91.147:asterix
192.168.0.9:41311 => 39.107.91.147:asterix
192.168.0.9:20364 => 39.107.91.147:asterix
192.168.0.9:43557 => 39.107.91.147:asterix
Ese puerto de destino de Astérix parece extraño. Corrí netstatpero no vi nada relacionado con ese destino y lsof -i :asterixno muestra nada.
Estoy dispuesto a borrar todo y reinstalarlo, pero mi curiosidad quiere profundizar en esto. ¿Alguien puede explicarme cómo puedo descubrir qué proceso está causando esto y cómo puedo eliminarlo?
Editar: también ejecuté Wirehark:
192.168.0.9 39.107.224.31 tcp 921 54081 ->8600 [SYN] Seq=0 Win=60246 Len=867
192.168.0.9 39.107.224.31 tcp 911 28526 ->8600 [SYN] Seq=0 Win=60596 Len=857
Y sigue y sigue, tenga en cuenta la IP de destino diferente, cambia cada vez que me vuelvo a conectar o establezco una regla de firewall para descartar el tráfico saliente a esa dirección.
Respuesta1
Sugeriría instalar herramientas como fail2ban, OSSEC para poder monitorear este tipo de incidentes de una manera más eficiente.
Y luego usando netstat puedes obtener usuario, inodo, etc. Si conoces el puerto:
# netstat -tanp -e |awk 'NR == 2 || /<port_number/'
Example
# netstat -tanp -e |awk 'NR == 2 || /8009/'
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:8009 0.0.0.0:* LISTEN 43475 8771034 30611/java
Respuesta2
IntentarNethogs, es como el topcomando normal, pero muestra la utilización de la red por proceso.