নেটস্যাট কোনও শ্রোতা পোর্ট নেই যা পিড ছাড়াই রয়েছে তবে লোএসফ এটি করে না

এই প্রশ্নটি নেটওয়ার্ক বন্দর খোলার অনুরূপ , তবে কোনও প্রক্রিয়া সংযুক্ত নেই?

আমি সেখান থেকে সবকিছু চেষ্টা করেছি, লগগুলি পর্যালোচনা করেছি ... এবং কিছুই খুঁজে পাচ্ছি না।

আমার নেটস্ট্যাটটি টিসিপি শ্রবণ পোর্ট এবং একটি পিডি ছাড়াই একটি ইউডিপি পোর্ট দেখায়। আমি যখন এই বন্দরগুলির জন্য lsof অনুসন্ধান করি তখন কিছুই আসে না।

netstat -lntup
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:44231           0.0.0.0:*               LISTEN      -               
udp        0      0 0.0.0.0:55234           0.0.0.0:*                           - 

নিম্নলিখিত কমান্ডগুলি কিছুই প্রদর্শন করে না:

lsof | grep 44231
lsof | greo 55234
fuser -n tcp 44231
fuser -n udp 55234

রিবুট করার পরে, সেই "একই" দুটি সংযোগ রয়েছে নতুন পোর্ট নম্বর ছাড়া:

netstat -lntup
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:45082           0.0.0.0:*               LISTEN      -               
udp        0      0 0.0.0.0:37398           0.0.0.0:*                           - 

এবং আবারও, lsof এবং fuser কমান্ড কিছুই দেখায় না।

কোন ধারণা তারা কি? আমি তাদের সম্পর্কে উদ্বিগ্ন হওয়া উচিত?

আপনি যে ডেটা সরবরাহ করেছেন তা থেকে আমি বলব এটি কিছু এনএফএস মাউন্টগুলি বা আরপিসি ব্যবহার করে এমন কিছু সম্পর্কিত।

rpcinfo -pআরপিসি সম্পর্কিত কিছু পরিষেবাদি দ্বারা ব্যবহৃত হতে পারে এমন বন্দরগুলির জন্য আপনি চেক করতে পারেন ।

এটি আমার সিস্টেমে কেমন দেখাচ্ছে

# netstat -nlp | awk '{if ($NF == "-")print $0}'
tcp        0      0 0.0.0.0:55349           0.0.0.0:*               LISTEN      -               
udp        0      0 0.0.0.0:18049           0.0.0.0:*                           - 

# rpcinfo -p
   program vers proto   port
    100000    2   tcp    111  portmapper
    100000    2   udp    111  portmapper
    100024    1   udp  10249  status
    100024    1   tcp  10249  status
    100021    1   udp  18049  nlockmgr
    100021    3   udp  18049  nlockmgr
    100021    4   udp  18049  nlockmgr
    100021    1   tcp  55349  nlockmgr
    100021    3   tcp  55349  nlockmgr
    100021    4   tcp  55349  nlockmgr

কিছু প্রক্রিয়া / পিড কেবলমাত্র রুট উপলভ্য। চেষ্টা

sudo netstat -antlp

এটি TIME_WAIT অবস্থায় নেই এমন প্রতিটি উন্মুক্ত বন্দরের পিড ফিরিয়ে আনবে

@ ব্যবহারকারী202173 এবং অন্যদের ইঙ্গিতের ভিত্তিতে আমি নীচেস্টেটে তালিকাভুক্ত থাকা অবস্থায়ও কোনও পোর্টের মালিকানাধীন প্রক্রিয়াটি অনুসরণ করতে নিম্নলিখিতটি ব্যবহার করতে সক্ষম হয়েছি -।

এখানে আমার শুরু পরিস্থিতি ছিল। sudo netstatপিআইডি / প্রোগ্রামের সাথে পোর্ট প্রদর্শন করে -। lsof -iকিছুই দেখায় না

$ sudo netstat -ltpna | awk 'NR==2 || /:8785/'
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp6       0      0 :::8785                 :::*                    LISTEN      -
tcp6       1      0 ::1:8785                ::1:45518               CLOSE_WAIT  -
$ sudo lsof -i :8785
$

এখন মাছ ধরা যাক। প্রথমে -eআমাদের netstatকলটিতে যুক্ত করে ইনোডটি পাওয়া যাক ।

$ sudo netstat -ltpnae | awk 'NR==2 || /:8785/'
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode       PID/Program name
tcp6       0      0 :::8785                 :::*                    LISTEN      199179     212698803   -
tcp6       1      0 ::1:8785                ::1:45518               CLOSE_WAIT  0          0           -

পরবর্তী lsofইনোডের সাথে প্রক্রিয়াটি সংযুক্ত করতে ব্যবহার করুন

$ sudo lsof | awk 'NR==1 || /212698803/'
COMMAND      PID    TID                USER   FD      TYPE             DEVICE   SIZE/OFF       NODE NAME
envelope_ 145661 145766               drees   15u     IPv6          212698803        0t0        TCP *:8785 (LISTEN)

এখন আমরা প্রক্রিয়া আইডি জানি তাই আমরা প্রক্রিয়াটি দেখতে পারি। এবং দুর্ভাগ্যক্রমে এটি একটি অবিচ্ছিন্ন প্রক্রিয়া। এবং এর পিপিআইডিটি 1 তাই আমরা এর পিতামাতাকেও হত্যা করতে পারি না (দেখুন যার পিতামাতাকে দীক্ষা দেওয়া কোনও প্রক্রিয়া আমি কীভাবে হত্যা করতে পারি? ) থিওরিতে প্রাথমিকভাবে শেষ পর্যন্ত এটি পরিষ্কার হয়ে যেতে পারে, তবে আমি অপেক্ষা করে ক্লান্ত হয়ে পড়েছিলাম এবং পুনরায় বুট শুরু করেছি।

$ ps -lf -p 145661
F S UID         PID   PPID  C PRI  NI ADDR SZ WCHAN  STIME TTY          TIME CMD
0 Z drees    145661      1  2  80   0 -     0 exit   May01 ?        00:40:10 [envelope] <defunct>

এগুলি বিশেষত কী তা আমি জানি না, তবে কার্নেল মডিউলগুলি (এনএফএস উদাহরণস্বরূপ) এই সকেটের সাথে সংযুক্ত করার জন্য পিআইডি নেই। Lsmod সন্দেহভাজন কিছু জন্য সন্ধান করুন।

আমি জানি না এটি কার্যকর হতে পারে কিনা। আমার একই সমস্যা ছিল এবং আমি যা করেছি তা হ'ল: প্রথমত, আমি নেটস্যাটকে বিকল্পগুলির সাথে কল করেছি - একটি (সমস্ত) এবং -e (প্রসারিত)। পরবর্তী বিকল্পের সাহায্যে আমি ব্যবহৃত পোর্টের সাথে সম্পর্কিত ইনোড দেখতে পাচ্ছি। তারপরে, আমি প্রাপ্ত ইনোড নম্বরটি দিয়ে lsof | গ্রেপ কল করেছি এবং সেই ইনোডের সাথে সম্পর্কিত প্রক্রিয়াটির পিআইডি পেয়েছি। এটা আমার ক্ষেত্রে কাজ করেছে।

কোন ট্রাফিক আসছে বা এই বন্দর থেকে যাচ্ছে, পরীক্ষা সঙ্গে যে tcpdump -vv -x s 1500 port 37398 -w trace.outফাইলে আপনার ক্যাপচার সংরক্ষণ trace.out তারপর আপনি wireshark সঙ্গে এটি খুলতে পারে, অথবা tcpdump -vv port 37398এবং কি সরাসরি যাওয়া দেখতে।

ইউডিপি সকেটের জন্য সেই বন্দরটিতে নেটকেট ব্যবহার করার চেষ্টা করুন সম্ভবত আপনি কোনও ধরণের ব্যানার পেয়েছেন যা সহায়তা করে that

Rkhunter পান এবং আপনার সিস্টেমটি পিছনের অংশের জন্য পরীক্ষা করুন।

আপনার ইনস্টল মিডিয়া থেকে যে কোনও ফাইল আপডেট হয় না তা ধরে নিয়ে lsof / netstat এর md5 হ্যাশের তুলনা করুন।