У меня свежая установка CentOS 7. Через день после установки я заметил, что от нее идет тонна исходящего трафика, достаточно, чтобы замедлить работу всей домашней сети и вывести из строя мой маршрутизатор Netgear n450.
iftop показывает:
192.168.0.9:45819 => 39.107.91.147:asterix
192.168.0.9:41311 => 39.107.91.147:asterix
192.168.0.9:20364 => 39.107.91.147:asterix
192.168.0.9:43557 => 39.107.91.147:asterix
Порт назначения asterix кажется странным. Я запустил netstat
, но не увидел ничего, связанного с этим местом назначения, а lsof -i: asterix
ничего не показывает.
Я готов просто стереть все и переустановить, но мое любопытство хочет вникнуть в это. Может ли кто-нибудь просветить меня о том, как я могу выяснить, какой процесс вызывает это, и как я могу его удалить?
Изменить: Я также запустил wirehark:
192.168.0.9 39.107.224.31 tcp 921 54081 ->8600 [SYN] Seq=0 Win=60246 Len=867
192.168.0.9 39.107.224.31 tcp 911 28526 ->8600 [SYN] Seq=0 Win=60596 Len=857
, и это продолжается и продолжается, обратите внимание на другой IP-адрес назначения, он меняется каждый раз, когда я повторно подключаюсь или устанавливаю правило брандмауэра для отбрасывания исходящего трафика на этот адрес.
Я бы посоветовал установить такие инструменты, как fail2ban, OSSEC, чтобы вы могли более эффективно отслеживать подобные инциденты.
А затем с помощью netstat вы можете получить пользователя, индексный дескриптор и т. Д. Если вам известен порт:
# netstat -tanp -e |awk 'NR == 2 || /<port_number/'
Example
# netstat -tanp -e |awk 'NR == 2 || /8009/'
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:8009 0.0.0.0:* LISTEN 43475 8771034 30611/java