約5分ごとに、マイコンピュータのプロセス(デフォルトのユーザーIDを使用)は、異常なTCPポート(> 1k)から未知のIPアドレス(rDNSなし)への接続を開こうとします。すべての接続が拒否されたため、コンピュータのIPファイアウォールログに次の情報が表示されます。
[243678.820911] Firewall: *TCP_OUT Blocked* IN= OUT=eth1 SRC=192.168.1.33 DST=123.45.67.89 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=31984 DF PROTO=TCP SPT=31339 DPT=1234 WINDOW=64240 RES=0x00 SYN URGP=0 UID=1234 GID=1234
今私は知りたいどのプロセスそれは(何百もの実行中です)それをブロックし、これが私が興味を持っている必要があるかどうかを確認することです。
ユーザーID 1234を使用して、TCPポート3456から123.45.67.89への接続を開くプロセス名をどのように待機して検出しますか?
答え1
netstatを使用して、次のような緊密なループを構築できます。
while :; do netstat -np | awk '$5 ~ ":3456" {print}'; done
非常に効率的ではありませんが、呼び出しプロセスのpidと名前をキャプチャできるはずです。