eth0 monitorozás [update2]

Üdv mindenkinek!

Bár általában magam meg szoktam találni a megoldást, de ez most kifog rajtam. Rákerestem itt a hup fórumában is, de nem sok sikerrel. De lehet bénán kerestem.
Szóval az a helyzet hogy úgy tűnik valami suttyomban kommunikál az internettel. Ez egy asztali gép xubival. Nincs nagyon komoly tűzfal, de eddig nem is volt semmi fűalatti forgalom. Fut egy Gkrellm oldalt, és ott látom hogy most van le és fel töltés is. Minden ismert forgalmat leállítottam, de még mindig van egy kicsi.
Szóval a kérdés: milyen olyan legalább "top" szintű program van, ami képes process szinten monitorozni? Tehát mutatja éppen melyik process kezdeményez/fogad adatforgalmat.

Válaszokat előre is kösz.

[update]: Nos a sok jó tanácsnak köszönhetően már nyomozok. Részletek később.

[update2]: Nos. Van némi előre lépés. Úgy tűnik a probléma csak hosszú gép inaktivitás után jelentkezik. Értsd: 3 napig nem volt bekapcsolva a gép. Így most azon agyalok, hogy tudom reprodukálni a helyzetet. (Lehet megint vidékre kéne mennem? :-) ) De annyit már tudok, hogy érdekes és egzotikus ipkkel társalog a gépem. Tartok tőle hogy beszkennelt egy botnet. Vagy valami ilyesmi.
/A nagy érdeklődésre való tekintettel, lehet lesz majd egy blogbejegyzés a történetből :-)./

Minden esetre köszönöm mindenkinek a fáradozását, és az építő hozzászólásokat.

Hozzászólások

Ugyan nem az, amit keresel, de conky nem informál eléggé? Ha meg részleteket akarsz látni, indíts egy wireshark capture-t az interface-re.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ezekkel ugyan az a bajom, hogy nem processek szerint jelenít meg hanem pl az iftop csak a gép nevemet írja. De az iftoppal meg látom hogy kivel kommunikálok. És ez jó. A tcpdump meg ömlesztve adja az adatokat. Ember legyen a talpán aki tartani tudja a tempóját. Viszont rohadt részletes. (ez is)

iptraf -> meg tudod nézni/logolni milyen ki/bejövő porton megy a kommunikáció

ha malware-re gyanakszol (a postod alapján nem), akkor érdemesebb inkább a köpenyig bombázni a rendszert, és újrainstallálni.

Köszönöm mindenkinek az eddigi javaslatokat, majd estére végignézem őket.

Úgy tűnik több progi kombinált használatára lesz szükségem. Szerintem ezekkel már el tudom csípni a gazfickót(kat).
Tehát mindenkinek köszönöm az építő tanácsokat. Ha jutok valamire megírom.
Üdv.

Kollégák!
Hát nem erre való a SELINUX vagy appArmor és társai?
(megjegyzem én még nem használtam őket ... de a doku alapján ígéretes, viszont a jó beállításhoz tapasztalat és idő szükséges)

Ha átadod a tudásod neked attól még nem lesz kevesebb belőle..

netstat mit mond egyébként? (csodálom, hogy még nem merült fel)

az, hogy mennyire bug, vitatható...
amikor valaki nem az ftp-user-server csomagot teszi fel, hanem az ftp-kernel-server csomagot, akkor ott bizony maga a kernel fogja megnyitni az ftp portot és kiszolgálni az ftp kéréseket.
ok, pongyola vagyok: a portot mindenképp a kernel nyitja - csak ebben az esetben nem lesz user-space program, amely a nyitott porthoz tartozik...no meg van olyan is, amikor az ártékony program bújik el így

ha nem fontos ideiglenesen a hálózat én tiltanám a kimenő forgalmat egy ideig (amig meg nincs a bittang) - biztos a mi biztos
iptables -A OUTPUT -j DROP

bár ehhez konzolos elérhetőség nem ártana :)

mivel maga a kernel kommunikál a hálózattal amit a progik is a /proc/net/[tcp|udp] figyelnek, így
neked is azt kéne figyelned.

lsof -i

mindenkit fel kéne fednie aki a hálózattal babrál.
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/

ha betörésre gyanakszol akkor ellenőrizd a process listát.

ls -d /proc/*|grep [0-9]|wc -l;ps aux|wc -l

a ps előll még el lehet bújni, de a procban szinte minden esetben meg kell jelennie a futó folyamatnak, hogy ha a kernel futtatja, és hát mi más :) - itt nyitott a kérdés, tud vlaki olyat hogy a procban sem látszódik a folyamat és még is "él és virul"?
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/