由于前几天我一直在观察从端口24441从我的服务器一些奇怪的经常性外发UDPstream量,但由于它不是恒定的,我似乎无法find是什么原因造成的。
我只能看到iptables日志中的以下内容:
Nov 15 00:46:33 server kernel: [17216276.676673] Firewall: *UDP_OUT Blocked* IN= OUT=eth0 SRC=<SERVER_IP> DST=5.9.124.53 LEN=192 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=60641 DPT=24441 LEN=172 UID=501 GID=513 我怀疑是从我的服务器周期性运行的某种恶意软件,但想知道究竟是什么。 有人可以点亮如何捕捉/发生这种情况时,自动logging的来源? 我正在运行Centos 6.7。 谢谢!
这应该这样做,不断运行,但我没有testing它:)。
#!/bin/bash tail -f iptables.log | grep "UDP_OUT Blocked" | sed 's/^.*SPT=//g s/\s.*$//g' | ( while read portnum do netstat --inet --program --udp --all -v -n | grep "$portnum" done ) 2>&1 | tee suspicious.log
tail,grep,sed提取已经被阻塞的源端口号的列表,并且netstat获取程序信息。