LINUX.ORG.RU
ФорумAdmin

Как узнать, какая программа пытается установить соединения


0

0

Сервер проявляет нездоровую активность.
iptables фиксируют, что иногда он пытается присоединится к 25 порту каких-то левых компов. (Любая инциатива со стороны сервера, связанная с 25ым портом логируется).
Иногда - это несколько попыток подряд раз примерно в два дня.
Надо определить, какая программа пытается установить соединение.
Как это можно сделать?


lsof | grep :smtp

Другое дело, что соединяется с шансами sendmail (или другой мылер), тогда вопрос в том, кто его вызывает.

lodin ★★★★
()

Мой сервер пытается соединиться с портом 25 каких-то хостов.
Причём iptables ами я это дело DROPаю:
# Запретить с самого сервера отправлять почту по SMTP. На самый худший случай.
# С сервера в интернет
$IPTABLES -A FW_F_OUTPUT \
-o $INET_I -p tcp --dport 25 -m state --state NEW \
-j LOG --log-prefix "SMTP Alert (LO_I -> Internet)"
$IPTABLES -A FW_F_OUTPUT \
-o $INET_I -p tcp --dport 25 -m state --state NEW \
-j DROP
Происхожит это редко.
Мне надо понять, какой процесс делает эти попытки. Т. е. толку от текущего состояния нет. Нужно отслеживать постоянно. Может какие ключи к tcpdump или iptables есть?

ksicom
() автор топика
Ответ на: комментарий от birdie

> --log-uid

А как-нибудь без пересборки ядра и iptables нельзя? Как я понял - это нестандартный модуль?

ksicom
() автор топика
Ответ на: комментарий от ksicom

Ну, можно попробовать tail -f <лог> | while read; do ... done

и в теле цикла как раз сохранять в файл вывод lsof или netstat и ps -ef заодно

lodin ★★★★
()
Ответ на: комментарий от ksicom

Этот модуль как минимум три года в ванильном ядре.

birdie ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin