Eu tenho uma nova instalação atualizada do CentOS 7. Um dia após a instalação, notei uma tonelada de tráfego de saída vindo dele, o suficiente para desacelerar toda a rede doméstica e travar meu roteador Netgear n450.
iftop revela:
192.168.0.9:45819 => 39.107.91.147:asterix
192.168.0.9:41311 => 39.107.91.147:asterix
192.168.0.9:20364 => 39.107.91.147:asterix
192.168.0.9:43557 => 39.107.91.147:asterix
Esse porto de destino do Asterix parece estranho. Corri netstatmas não vi nada relacionado a esse destino e lsof -i :asterixnão mostra nada.
Estou disposto a limpar tudo e reinstalar, mas minha curiosidade quer investigar isso. Alguém pode me esclarecer sobre como posso descobrir qual processo está causando isso e como posso removê-lo?
Editar: também executei o wireshark:
192.168.0.9 39.107.224.31 tcp 921 54081 ->8600 [SYN] Seq=0 Win=60246 Len=867
192.168.0.9 39.107.224.31 tcp 911 28526 ->8600 [SYN] Seq=0 Win=60596 Len=857
e continua indefinidamente, observe o IP de destino diferente, ele muda sempre que eu reconecto ou defino uma regra de firewall para descartar o tráfego de saída para esse endereço.
Responder1
Eu sugeriria instalar ferramentas como fail2ban, OSSEC para que você possa monitorar esse tipo de incidente de forma mais eficiente.
E então usando netstat você pode obter usuário, inode etc. Se você conhece a porta:
# netstat -tanp -e |awk 'NR == 2 || /<port_number/'
Example
# netstat -tanp -e |awk 'NR == 2 || /8009/'
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:8009 0.0.0.0:* LISTEN 43475 8771034 30611/java
Responder2
TentarNethogs, é como o topcomando normal, mas mostra a utilização da rede por processo.