To pytanie jest podobne do otwartego portu sieciowego, ale nie dołączono żadnego procesu?
Próbowałem już wszystkiego, sprawdziłem logi itp. I nic nie mogę znaleźć.
Mój netstat pokazuje port nasłuchiwania TCP i port UDP bez pid. Kiedy szukam tych portów, nic się nie pojawia.
netstat -lntup
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:44231 0.0.0.0:* LISTEN -
udp 0 0 0.0.0.0:55234 0.0.0.0:* -
Następujące polecenia nic nie wyświetlają:
lsof | grep 44231
lsof | greo 55234
fuser -n tcp 44231
fuser -n udp 55234
Po ponownym uruchomieniu są tam te same „dwa” połączenia, z wyjątkiem nowych numerów portów:
netstat -lntup
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:45082 0.0.0.0:* LISTEN -
udp 0 0 0.0.0.0:37398 0.0.0.0:* -
I jeszcze raz polecenia lsof i utrwalacza nic nie pokazują.
Jakieś pomysły, czym one są? Czy powinienem się nimi martwić?
Niektóre procesy / pidy są dostępne tylko do rootowania. Próbować
powinien zwrócić pid każdego otwartego portu, który nie jest w stanie TIME_WAIT
źródło
Na podstawie podpowiedzi @ user202173 i innych udało mi się użyć następujących elementów, aby wyśledzić proces będący właścicielem portu, nawet jeśli jest on wymieniony jako
-
netstat.Oto moja sytuacja wyjściowa.
sudo netstat
pokazuje port z PID / Program z-
.lsof -i
nic nie pokazuje.Teraz chodźmy na ryby. Najpierw zdobądźmy i-węzeł dodając
-e
do naszegonetstat
połączenia.Następnie użyj,
lsof
aby przywiązać proces do tego i-węzła.Teraz znamy identyfikator procesu, dzięki czemu możemy spojrzeć na proces. I niestety jest to proces nieczynny. A jego PPID wynosi 1, więc nie możemy zabić jego rodzica (zobacz Jak mogę zabić proces, którego rodzicem jest init? ). Teoretycznie init może w końcu to wyczyścić, ale miałem już dość czekania i zrestartowałem się.
źródło
lsof | awk 'NR==1 || /212698803/'
(nawet przylsof -N
pokazaniu tylko NFS) może bardzo wolno reagować i może upłynąć limit czasu. Innym minusem jest to, że i-węzeł może się zmienić podczas rozwiązywania tego problemu.Nie wiem, co to konkretnie, ale moduły jądra (na przykład NFS) nie mają PID do powiązania z tymi gniazdami. Poszukaj czegoś podejrzanego w lsmod.
źródło
Nie wiem, czy to może być przydatne. Miałem ten sam problem i to, co zrobiłem, to: Po pierwsze, wywołałem netstat z opcjami -a (wszystkie) i -e (rozszerzone). Dzięki tej drugiej opcji widzę i-węzeł powiązany z używanym portem. Następnie zadzwoniłem do lsof | grep z uzyskanym numerem i-węzła i otrzymałem PID procesu związanego z tym i-węzłem. To zadziałało w moim przypadku.
źródło
Czy jest jakiś ruch przychodzący lub wychodzący z tego portu, sprawdź, czy za pomocą
tcpdump -vv -x s 1500 port 37398 -w trace.out
Zapisuje przechwytywanie w pliku trace.out, możesz następnie otworzyć go za pomocą wireshark lubtcpdump -vv port 37398
zobaczyć, co się dzieje bezpośrednio.Spróbuj telnet do tego portu, użyj netcat dla gniazda udp, może otrzymasz jakiś baner, który pomaga.
Pobierz rkhunter i sprawdź, czy w systemie nie ma backdoora.
Porównaj skrót md5 programu lsof / netstat z hasłem z nośnika instalacyjnego, zakładając, że pliki nie są aktualizowane.
źródło