약 5분마다 내 컴퓨터의 프로세스(내 기본 사용자 ID 사용)가 비정상적인 TCP 포트(>1k)에서 알 수 없는 IP 주소(rDNS 없음)에 대한 연결을 열려고 시도합니다. 모든 연결이 거부되었으므로 컴퓨터의 IP 방화벽 로그에서 다음을 볼 수 있습니다.
[243678.820911] Firewall: *TCP_OUT Blocked* IN= OUT=eth1 SRC=192.168.1.33 DST=123.45.67.89 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=31984 DF PROTO=TCP SPT=31339 DPT=1234 WINDOW=64240 RES=0x00 SYN URGP=0 UID=1234 GID=1234
이제 나는 알고 싶다어떤 프로세스그것은 (수백 개가 실행 중입니다) 그것을 차단하고 이것이 내가 관심을 가져야 할 것인지 확인하는 것입니다.
사용자 ID 1234를 사용하여 TCP 포트 3456에서 123.45.67.89에 대한 연결을 여는 프로세스 이름을 어떻게 기다리고 감지합니까?
답변1
netstat를 사용하여 다음과 같은 긴밀한 루프를 구축할 수 있습니다.
while :; do netstat -np | awk '$5 ~ ":3456" {print}'; done
매우 효율적이지는 않지만 호출 프로세스의 pid와 이름을 캡처할 수 있어야 합니다.