我全新安裝了 CentOS 7。
iftop 揭露:
192.168.0.9:45819 => 39.107.91.147:asterix
192.168.0.9:41311 => 39.107.91.147:asterix
192.168.0.9:20364 => 39.107.91.147:asterix
192.168.0.9:43557 => 39.107.91.147:asterix
asterix 的目的港看起來很奇怪。我跑了,netstat但沒有看到任何與該目的地相關的東西,也lsof -i :asterix沒有顯示任何內容。
我願意擦除整個內容並重新安裝,但我的好奇心想深入研究這一點。誰能告訴我如何找出導致此問題的進程以及如何刪除它?
編輯:我還運行了wireshark:
192.168.0.9 39.107.224.31 tcp 921 54081 ->8600 [SYN] Seq=0 Win=60246 Len=867
192.168.0.9 39.107.224.31 tcp 911 28526 ->8600 [SYN] Seq=0 Win=60596 Len=857
它會一直持續下去,請注意不同的目標 IP,每次我重新連接或設定防火牆規則以丟棄到該位址的出站流量時,它都會發生變化。
答案1
我建議安裝fail2ban、OSSEC等工具,這樣你就可以更有效地監控這類事件。
然後使用 netstat 你可以取得使用者、inode 等。
# netstat -tanp -e |awk 'NR == 2 || /<port_number/'
Example
# netstat -tanp -e |awk 'NR == 2 || /8009/'
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:8009 0.0.0.0:* LISTEN 43475 8771034 30611/java
答案2
嘗試網路豬,它就像常規top命令,但顯示每個進程的網路利用率。