ポートスキャンを実行するプロセス検出

ポートスキャンを実行するプロセス検出

サブネット全体のポートスキャンがあるように見えるUbuntu 12.04サーバーを管理する必要があります。スキャンを実行するプロセスをどのように見つけることができますか?

pstree
init─┬─acpid
     ├─apache2───14*[apache2]
     ├─atd
     ├─avahi-daemon───avahi-daemon
     ├─bluetoothd
     ├─colord───2*[{colord}]
     ├─console-kit-dae───64*[{console-kit-dae}]
     ├─cron
     ├─cupsd
     ├─dbus-daemon
     ├─fail2ban-server───2*[{fail2ban-server}]
     ├─gam_server
     ├─6*[getty]
     ├─irqbalance
     ├─kdm─┬─Xorg
     │     └─kdm───kdm_greet───2*[{kdm_greet}]
     ├─mysqld───27*[{mysqld}]
     ├─ntpd
     ├─polkitd───{polkitd}
     ├─rsyslogd───3*[{rsyslogd}]
     ├─smbd───smbd
     ├─sshd───sshd───sshd───bash───su───bash───tmux
     ├─tmux───bash───pstree
     ├─udevd───2*[udevd]
     ├─upstart-socket-
     └─upstart-udev-br

答え1

lsofを使用してください。プロセスと関連ファイルを表示します。あなたの場合、通常のファイルではなくIP(ソケットを意味する)を見つける必要があります。これにより、どのプロセスがスキャンを実行しているかがわかります。その後、プロセスがどのように呼び出されるかを追跡できます。

関連情報