Jak najit "zly" proces ?
Borek Lupomesky
borek na lupomesky.cz
Pátek Květen 5 10:41:38 CEST 2006
>mam tu starou verzi Apache a zrejme se mi do nej nekdo naboural, protoze
>nektery z jeho procesu se pokousel ve vterinovych intervalech o TCP spojeni
>na port 6000 na server 72.20.13.101 (undernet.inspected.us). Po restartu
>Apache aktivita umlkla a zatim se neobnovila. V logách jsem nic, co by vedlo
>k jasnemu vysvetleni nenasel. Apache samozrejme v nejblizsi vhodne dobe
>upgradnu, mam ale obecnou otazku:
>
>Da se nejak odhalit konkretni pachatel (proces), aniz bych ho pritom zabil ?
>Jde o moznost vypatrat podrobnosti napriklad coredumpem a sledovanim
>aktivity procesu v logu. Podotykam, ze se jednalo o neuspesne pokusy o
>otevreni TCP spojeni, protoze je blokoval firewall, takze se neobjevily v
>netstatu.
V netstatu by se měly objevit nezávisle na tom, jestli je firewall blokuje. Nicméně pokud firewall posílá na pokusy o spojení reject (RST, ICMP port unreachable) potom spojení netstatem asi opravdu nechytíte (je v něm zlomek vteřiny). Pak by možná bylo dobré na FW zavést specifické pravidlo, ktere bude spojení dropovat (tj. nepošle vůbec nic), čímž spojení bude na zdrojovém počítači timeoutovat a to je chvíle, kdy bude vidět v netstatu. Pak stačí netstatu přidat parametr -p a mělo by být jasné, který proces má spojení na svědomí.
Borek
Další informace o konferenci Linux