tengo ese problema, que si le doy un vistazo
iftop -i eth0 -o 10s -p -P
comando obtengo un montón de información de lista
192.168.8.119:ssh => 192.168.8.98:62424 5.12Kb 5.60Kb 8.94Kb
<= 320b 320b 453b
224.0.0.251:mdns => 192.168.8.98:mdns 0b 0b 0b
<= 0b 285b 641b
192.168.8.119:smtp => 87.246.7.246:53274 160b 32b 8b
<= 240b 48b 12b
192.168.8.119:smtp => 5.34.207.59:1832 0b 32b 8b
<= 0b 48b 12b
192.168.8.119:smtp => 5.34.207.107:34708 0b 32b 8b
<= 0b 48b 12b
192.168.8.119:smtp => 5.34.207.107:58290 0b 32b 8b
<= 0b 48b 12b
192.168.8.119:smtp => 5.34.207.59:50034 0b 0b 16b
<= 0b 0b 24b
192.168.8.119:45822 => 192.168.8.118:microsoft-ds 0b 0b 22b
<= 0b 0b 12b
192.168.8.119:45824 => 192.168.8.118:microsoft-ds 0b 0b 22b
<= 0b 0b 12b
192.168.8.119:45826 => 192.168.8.118:microsoft-ds 0b 0b 22b
<= 0b 0b 12b
192.168.8.119:45828 => 192.168.8.118:microsoft-ds 0b 0b 22b
<= 0b 0b 12b
192.168.8.119:45830 => 192.168.8.118:microsoft-ds 0b 0b 22b
<= 0b 0b 12b
...
..
.
Como ejemplo, bloqueé un par de direcciones IP pero me arruina el día si veo casi esa pantalla completa.
ufw deny from 5.34.207.107 to any
ufw deny out from any to 5.34.207.107
¿Cómo puedo encontrar y detener finalmente ese proceso que requiere 5.34.207.107,...? Es un sistema ubuntu 20.x.
Respuesta1
Creo que te estás perdiendo el contexto. Esas direcciones IP (5.34.207.XX) son las que intentan establecer una conexión. Parece que tiene un servidor de correo ejecutándose en su máquina y estos hosts están intentando conectarse a él (probablemente para enviar spam).
Puedes ver que están intentando establecer la conexión mirando el puerto. Todo lo que está por encima de 1024 (pero en realidad es más bien > 20000) es un puerto abierto para conectarse a otro host (saliente)
buscar enPuerto efímero.