GNU/Linux >> Tutoriels Linux >  >> Linux

Comment savoir quel processus a un port spécifique ouvert sous Linux ?

Solution 1 :

En plus de Netstat, mentionné dans d'autres articles, la commande lsof devrait pouvoir le faire très bien. Utilisez simplement ceci :

lsof -i :<port number>

et tous les processus devraient apparaître. Je l'utilise assez fréquemment sur OS X.

Article d'administration Debian pour lsof

Solution 2 :

Avertissement :Votre système est compromis.

L'outil dont vous avez besoin est lsof , qui listera les fichiers (ainsi que les sockets et les ports). Il est très probablement installé, et il s'agit très probablement de la version de l'attaquant, ce qui signifie qu'il va mentir à vous.

Il s'agit bien d'un rootkit. J'ai déjà vu ce comportement, et c'est toujours un rootkit. Votre système est compromis et tous les outils que vous utilisez et qui proviennent de la même machine ne sont pas fiables. Démarrez sur un Live CD (qui contient des binaires fiables en lecture seule) et utilisez-le pour extraire vos données, paramètres, etc. Tous les programmes que vous aviez, tous les scripts que vous aviez, abandonnez-les . Ne les apportez pas . Traitez-les, ainsi que le système, comme s'ils avaient la lèpre, parce qu'ils le font .

Une fois que vous avez terminé, sortez-le de l'orbite.

Faites-le dès que possible. Oh, et débranchez votre connexion réseau - refusez l'accès à votre attaquant.

Solution 3 :

sudo netstat -lnp

Répertorie les ports qui écoutent les connexions entrantes et le processus associé qui a le port ouvert.

Solution 4 :

netstat -anp

Le "-p" lui dit de lister l'ID de processus qui a le port ouvert. Le -an lui dit de lister les ports d'écoute et de ne pas résoudre les noms. Sur les systèmes occupés, cela peut considérablement accélérer la vitesse de retour.

netstat-anp | grep "LISTE"

Cela vous donnera juste les ports ouverts.

Solution 5 :

Si vous ne voyez pas le port ouvert avec les outils du système d'exploitation et que vous suspectez une intrusion, il se peut qu'un rootkit ait été installé.

Le rootkit peut avoir modifié les outils système pour éviter certains processus et ports ou modifié les modules du noyau.

Vous pouvez vérifier le rootkit avec plusieurs outils automatisés. 'apt-cache search rootkit' affiche ce qui suit dans Ubuntu :

chkrootkit - rootkit detector
rkhunter - rootkit, backdoor, sniffer and exploit scanner
unhide - Forensic tool to find hidden processes and ports

S'il vous arrive d'avoir un rootkit, vous pouvez rétablir le "modifié" sur votre système, mais je vous recommande de découvrir comment l'intrusion a été faite et de renforcer le système pour qu'il ne se reproduise pas.

Ils ne sont pas exclusifs à Ubuntu, vous pouvez également les utiliser dans CentOS. Recherchez simplement le package ou téléchargez-le depuis leur page.

D'après la sortie de ce port, il semble que vous exécutiez effectivement pcanywhere :"�Û� " est très similaire à "Veuillez appuyer sur " qui est le message de bienvenue de pcanywhere. Je ne sais pas pourquoi le processus n'apparaît pas dans la liste des processus. Es-tu root ?

Vous pouvez essayer de redémarrer pour voir s'il s'agit également d'un processus unique en cours d'exécution.


Linux

  1. Comment tuer un processus en cours d'exécution sur un port particulier sous Linux ?

  2. Comment ouvrir un port sous Linux

  3. comment utiliser netstat sur un port spécifique sous Linux

  4. Comment apprendre les composants internes du système Linux

  5. Vérifier si le port est ouvert ou fermé sur un serveur Linux ?

Comment vérifier qu'un port est ouvert sur un système Linux distant

Comment rechercher et fermer des ports ouverts sous Linux

Comment utiliser Netcat pour analyser les ports ouverts sous Linux

Comment tuer le processus Linux en cours d'exécution sur un port particulier

Comment savoir si votre système possède un port USB 3.0 sous Linux [Astuce rapide]

Comment suivre et tracer un processus Linux