有一台我经常pipe理的服务器(每分钟几次)尝试连接到TCP端口22上的另一台机器。(ssh) 我的问题:我怎么能find产生这种连接的过程? 我已经检查了什么: tcpdump捕获在以太网接口+饲料wireshark =>结果是没有那么有趣,除了它似乎是一个标准的encryptionSSH连接,stream的重组并没有给我有用的信息,因为它是(当然)encryption。 lsof脚本:在每次运行之间,我将lsof已知的所有文件访问转储到文件大约60次,每次1秒。 我可以看到日志文件中的连接设置,但在其周围,我没有认识到有用的信息: … ssh 8478 root 3u IPv4 945966 TCP servername:randomport->destinationserver:ssh (ESTABLISHED) … 它看起来像是由root用户拥有的。 重复这个过程几次,但没有什么有趣的认识。 netstat显示了这个:(netstat -ntap) tcp 0 0 servername:randomport destinationserver:22 TIME_WAIT – tcp 0 0 servername:randomport destinationserver:22 TIME_WAIT – 当我logging足够多的迭代时,我看到它每分钟下降到一个time_wait cnx并且回到2几次。 的crontab: 没有crontabs被发现的任何用户启动一些ssh cnx在/ etc / cron *文件和目录中的ssh 开始审计 添加了这个规则: auditctl -a exit,always -F arch=b64 -S connect -k […]
有没有一种方法可以确定或追踪在运行Ubuntu 14.04 LTS的系统上如何设置端口转发configuration,其中有一个NodeJS服务正在运行,并以某种方式接受通过端口80的连接,虽然服务本身在端口8080上运行,鉴于端口80连接清楚地表明Apache正在处理(请参阅下面的详细信息)? 我试图在系统上使用lsof -i :80 ,而根据lsof ,80端口上没有进程。有趣的是, ubuntu@ip-***-**-**-***:~$ sudo netstat -anp | grep apache tcp6 0 0 :::80 :::* LISTEN 10197/apache2 我确定它位于/etc/apache2/apache2.conf并且找不到任何VirtualHostlogging, ProxyPass或其他任何types的东西,我已经深入Apacheconfiguration。 我也检查了iptables -L以防万一。 httpry或类似的东西有助于找出端口转发configuration和运行的进程负责端口转发?
在我的系统上,如果我运行一个端口的netstat,它会返回: $ netstat -nat | grep "60964" tcp 0 0 192.0.0.1:60964 0.0.0.0:* LISTEN tcp 59 0 192.0.0.1:60964 192.0.0.6:46962 ESTABLISHED 如果我运行lsof: $ lsof -i4 | grep "60964" process_x 2585 root 189u IPv4 12708 0t0 TCP 192.0.0.1:60964 (LISTEN) 为什么这里的输出有差别? 为什么不能检测“build立”连接。 谢谢! 编辑:我应该提到我是以root身份运行上述命令。
我有几台在局域网上运行CentOS 5.11的主机。 最近,我们已经从非授权用户尝试sudo命令中获得相当正规的sudo警报(通过电子邮件)。 被谷歌search的情况下,企图命令是已知的黑客,或已知的“工具”,可以触发这些。 模式是相当规则的,通常大约每小时两次从多个主机提醒 – 非常不可能是人类,因此。 警报本身总是其中之一: myhost01:10月29日17:50:41:tzx:用户不在sudoers; TTY = pts / 0; PWD = / home / tzx; USER = root; COMMAND = lsof -nP + c0 -i4TCP 要么 myhost02:10月29日18:16:39:tzx:用户不在sudoers; TTY = pts / 0; PWD = / home / tzx; USER = root; COMMAND = parted -l 用户“tzx”是有效的Linux用户 – 通常用于运行系统服务或cron作业,但也允许SSHlogin(以防止以root身份执行任何function)。 我在一个或两个受影响的主机上使用了“last”,我从用户tzx看到shell会话,每个会话不到一分钟,大致对应于我们得到的警报。 而且,所有这些会话似乎来自局域网上的同一个源主机(我也在挖掘)。 […]
在Solaris 10中,我收到了lsof错误信息: can't read vnode at 0x7d900000000 can't read vnode at 0x7b 但是在另外一个类似的Solaris 10中,我没有给出同样的错误。 在另一个框上, lsof成功列出了打开的文件信息。 有其他人遇到同样的问题,并已能够解决它? 从完整输出中摘录: $ lsof lsof: WARNING: compiled for Solaris release 5.9; this is 5.10. COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME (unknown) 1 root cwd can't read vnode at 0x7d900000000 (unknown) 1 root rtd can't read vnode […]
joe@server:~$ sudo lsof -i :36168 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME java 23059 activemq 15u IPv6 109382 0t0 TCP *:36168 (LISTEN) 从上面的输出我想禁用端口36168,但不知道在哪里。 我怎么才能find这个端口的configuration文件来修改它? 对此没有任何结果。 我不想用防火墙来代替。
我试图找出为什么我在我的安全日志文件上有一些奇怪的连接。 像这样的东西: Apr 23 11:35:43 li192-61 sshd[11651]: Did not receive identification string from 127.0.0.1 Apr 23 11:35:49 li192-61 sshd[11661]: Connection closed by UNKNOWN 我有许多这样的连接,每一分钟都是精确的。 所以我使用netstat命令作为netstat -ta –numeric-ports –program | grep 22 netstat -ta –numeric-ports –program | grep 22获取更多信息。 我得到了这个(我删除了我自己的SSH连接): tcp 0 0 localhost:56145 localhost:22 TIME_WAIT – 接下来我试图找出哪一个使用这个端口,所以我使用了lsof -i :22 ,除了我自己的连接之外我什么都没有。 在我启动netstat命令后,我得到了这个: tcp 0 0 localhost:45979 […]
以下命令生成由PID 30661打开的unix域套接字 $ sudo lsof -U -a -p 30661 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME haproxy 30661 haproxy 7u unix 0xc784a000 0t0 3348210055 /var/lib/haproxy/stats.30660.tmp 我想要一个使用lsof内部选项的命令,只需输出“var / lib / haproxy / stats.30660.tmp” 我不想使用pipe道和其他工具来获得这个输出。
我试图在CentOS 6服务器上缩小一个ext4文件系统。 当我等待一些进程完成运行时,我懒惰地卸载了文件系统。 他们都跑完了,但我似乎无法做任何事情与文件系统。 我怎样才能看到使用音量和停止它? resize2fs [root@planck ~]# resize2fs -P /dev/vg_dev/lv_home resize2fs 1.42.9 (28-Dec-2013) resize2fs: Device or resource busy while trying to open /dev/vg_dev/lv_home Couldn't find valid filesystem superblock. fsck的 [root@planck ~]# fsck /dev/vg_dev/lv_home fsck from util-linux-ng 2.17.2 e2fsck 1.42.9 (28-Dec-2013) /dev/mapper/vg_dev-lv_home is in use. e2fsck: Cannot continue, aborting. 卸除 [root@planck ~]# umount /dev/vg_dev/lv_home umount: […]
我可以用lsof看到一个进程对于一个特定的文件有一个打开的文件句柄,但是有没有一种方法可以看到它是什么types的文件句柄(ex:r,rw)?