LINUX.ORG.RU
ФорумSecurity

Как поймать сетевой процесс в состоянии TIME_WAIT


0

2

Здравствуйте.

Почистил сервер от троянца. Но после все равно вижу, что некий процесс постоянно пытается что-то скачать с левого IP. Опознать PID не получается из-за состояния TIME_WAIT, которое lsof в упор не видит. Подскажите, пожалуйста, как добить зловреда.

#netstat -cutpan
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 192.168.1.2:52657      103.20.195.254:80       TIME_WAIT   -

#ss -ap
Netid  State      Recv-Q Send-Q Local Address:Port  Peer Address:Port
tcp    TIME-WAIT  0  0          192.168.1.2:52657  103.20.195.254:http

Тут везде по нулям: 

#lsof -n -i@103.20.195.254
#lsof -n -i
#crontab -l


TIME_WAIT это же состояние сокета, процесса уже нет, он закрыл сокет. Если процесс ломится на один и тот же адрес, то сделайте DNAT на свой адрес и там повешайте ″nc″, чтобы процесс открывал соединение, но ничего не получал. Тогда соединение будет открыто некоторое продолжительное время.

mky ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security