Üdv mindenkinek!
Bár általában magam meg szoktam találni a megoldást, de ez most kifog rajtam. Rákerestem itt a hup fórumában is, de nem sok sikerrel. De lehet bénán kerestem.
Szóval az a helyzet hogy úgy tűnik valami suttyomban kommunikál az internettel. Ez egy asztali gép xubival. Nincs nagyon komoly tűzfal, de eddig nem is volt semmi fűalatti forgalom. Fut egy Gkrellm oldalt, és ott látom hogy most van le és fel töltés is. Minden ismert forgalmat leállítottam, de még mindig van egy kicsi.
Szóval a kérdés: milyen olyan legalább "top" szintű program van, ami képes process szinten monitorozni? Tehát mutatja éppen melyik process kezdeményez/fogad adatforgalmat.
Válaszokat előre is kösz.
[update]: Nos a sok jó tanácsnak köszönhetően már nyomozok. Részletek később.
[update2]: Nos. Van némi előre lépés. Úgy tűnik a probléma csak hosszú gép inaktivitás után jelentkezik. Értsd: 3 napig nem volt bekapcsolva a gép. Így most azon agyalok, hogy tudom reprodukálni a helyzetet. (Lehet megint vidékre kéne mennem? :-) ) De annyit már tudok, hogy érdekes és egzotikus ipkkel társalog a gépem. Tartok tőle hogy beszkennelt egy botnet. Vagy valami ilyesmi.
/A nagy érdeklődésre való tekintettel, lehet lesz majd egy blogbejegyzés a történetből :-)./
Minden esetre köszönöm mindenkinek a fáradozását, és az építő hozzászólásokat.
Hozzászólások
Ugyan nem az, amit keresel, de conky nem informál eléggé? Ha meg részleteket akarsz látni, indíts egy wireshark capture-t az interface-re.
tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE
Nos. Megnéztem a wireshark capture lehetőséget. Szerintem ez nem tud process név szerint listázni.
Pedig amúgy baromi részletes. A conky meg kb. ugyan azt tudja mint a gkrellm.
iftop, tcpdump
--
Ezekkel ugyan az a bajom, hogy nem processek szerint jelenít meg hanem pl az iftop csak a gép nevemet írja. De az iftoppal meg látom hogy kivel kommunikálok. És ez jó. A tcpdump meg ömlesztve adja az adatokat. Ember legyen a talpán aki tartani tudja a tempóját. Viszont rohadt részletes. (ez is)
Próbáld ki a Nethogs-t.
Kipróbáltam. Na ez tud process név szerint listázni, de pl ír valami beazonosíthatatlan root folyamatot. Na most ezzel ugyan ott vagyok. Meg már nem élő folyamatokat is listáz (?).
A nem élő folyamat listázása is hasznos lehet, ha egy alkalmazás csak adott időközönként forgalmaz.
iptraf -> meg tudod nézni/logolni milyen ki/bejövő porton megy a kommunikáció
+1 az iptraf-nak! Én is azt használom! :-)
Volt már, hogy hasonló problémát ezzel csíptem el...
Tartok tőle hogy csak port és protokoll alapján listáz. Nem jó.
Egy (tegyük föl) rossz akaratú program akármilyen porton és protokollon kommunikálhat.
Isten igazából, ez egy jó kis tűzfal tesztelőként lehet jó.
ha malware-re gyanakszol (a postod alapján nem), akkor érdemesebb inkább a köpenyig bombázni a rendszert, és újrainstallálni.
Köszönöm mindenkinek az eddigi javaslatokat, majd estére végignézem őket.
Úgy tűnik több progi kombinált használatára lesz szükségem. Szerintem ezekkel már el tudom csípni a gazfickót(kat).
Tehát mindenkinek köszönöm az építő tanácsokat. Ha jutok valamire megírom.
Üdv.
Kollégák!
Hát nem erre való a SELINUX vagy appArmor és társai?
(megjegyzem én még nem használtam őket ... de a doku alapján ígéretes, viszont a jó beállításhoz tapasztalat és idő szükséges)
Ha átadod a tudásod neked attól még nem lesz kevesebb belőle..
netstat mit mond egyébként? (csodálom, hogy még nem merült fel)
Az egyik első az volt amit próbáltam. Nekem csak portot mutat, meg cél állomást.
Ezzel sajnos nem vagyok kisegítve. Az a baj a portos kijelzéssel, hogy csak tűzfalnál hasznos.
És szerintem csak tüneti kezelés. Én magát a kis huncutot akarom elkapni.
Próbáld ki a következőt, hogy lásd a programnevet is:
netstat -tunlap
nem mindig segit. sokszor vissza-vissza jon az a kedves bug hogy pont a program neveknel latsz egy szep '-' es ennyi.
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/
az, hogy mennyire bug, vitatható...
amikor valaki nem az ftp-user-server csomagot teszi fel, hanem az ftp-kernel-server csomagot, akkor ott bizony maga a kernel fogja megnyitni az ftp portot és kiszolgálni az ftp kéréseket.
ok, pongyola vagyok: a portot mindenképp a kernel nyitja - csak ebben az esetben nem lesz user-space program, amely a nyitott porthoz tartozik...no meg van olyan is, amikor az ártékony program bújik el így
man netstat
-p, --program
Show the PID and name of the program to which each socket belongs.
kiderült valami?
ha nem fontos ideiglenesen a hálózat én tiltanám a kimenő forgalmat egy ideig (amig meg nincs a bittang) - biztos a mi biztos
iptables -A OUTPUT -j DROP
bár ehhez konzolos elérhetőség nem ártana :)
mivel maga a kernel kommunikál a hálózattal amit a progik is a /proc/net/[tcp|udp] figyelnek, így
neked is azt kéne figyelned.
lsof -i
mindenkit fel kéne fednie aki a hálózattal babrál.
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/
Az iptables jó ötlet. Köszi. Bár én is gondolhattam volna rá, de annyira triviális hogy nem jutott eszembe. Hiába Ockham borotvája.
Ja és persze hogy van konzol. Anélkül nem linuxos a linuxos :-)
ha betörésre gyanakszol akkor ellenőrizd a process listát.
ls -d /proc/*|grep [0-9]|wc -l;ps aux|wc -l
a ps előll még el lehet bújni, de a procban szinte minden esetben meg kell jelennie a futó folyamatnak, hogy ha a kernel futtatja, és hát mi más :) - itt nyitott a kérdés, tud vlaki olyat hogy a procban sem látszódik a folyamat és még is "él és virul"?
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/
Ez jó, kivéve ha az ls binárist is lecserélték.
--
#conf t
#int world
#no shut
Igaz. Akkor elotte
Stat /bin/ls
De pont ilyenek miatt hasznalf SELinuxotvagy AppArmot.
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/
feliratkozás
jó téma ez